Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Năm đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến phần mềm JetBrains TeamCity On-Premises vào danh mục các lỗ hổng khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2024-27198 (điểm CVSS: 9.8), đề cập đến lỗi bỏ qua xác thực cho phép kẻ tấn công không được xác thực từ xa xâm phạm hoàn toàn máy chủ nhạy cảm.
Nó đã được JetBrains giải quyết vào đầu tuần này cùng với CVE-2024-27199 (điểm CVSS: 7.3), một lỗ hổng bỏ qua xác thực mức độ nghiêm trọng vừa phải khác cho phép "số lượng hạn chế" tiết lộ thông tin và sửa đổi hệ thống.
"Các lỗ hổng có thể cho phép kẻ tấn công chưa được xác thực có quyền truy cập HTTP (S) vào máy chủ TeamCity để vượt qua kiểm tra xác thực và giành quyền kiểm soát quản trị máy chủ TeamCity đó", công ty lưu ý vào thời điểm đó.
Các tác nhân đe dọa đã được quan sát thấy vũ khí hóa hai lỗ hổng kép để cung cấp ransomware Jasmin cũng như tạo ra hàng trăm tài khoản người dùng giả mạo, theo CrowdStrike và LeakIX. Tổ chức Shadowserver Foundation cho biết họ đã phát hiện các nỗ lực khai thác bắt đầu từ ngày 4/3/2024.
Thống kê được chia sẻ bởi GreyNoise cho thấy CVE-2024-27198 đã bị khai thác rộng rãi từ hơn một chục địa chỉ IP duy nhất ngay sau khi tiết lộ công khai lỗ hổng.
Trong bối cảnh khai thác tích cực, người dùng đang chạy các phiên bản phần mềm tại chỗ nên áp dụng các bản cập nhật càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn. Các cơ quan liên bang được yêu cầu vá các trường hợp của họ trước ngày 28 tháng 3 năm 2024.