BI.ZONE WAF защищает от уязвимостей в JetBrains TeamCity

Мы обновили библиотеку детектирующих правил сервиса BI.ZONE WAF, чтобы защитить пользователей программного обеспечения JetBrains TeamCity от новых уязвимостей

12 марта 2024 г.

О двух уязвимостях в популярном инструменте для автоматизации процессов CI/CD и совместной разработки ПО JetBrains TeamCity стало известно в конце февраля. Они связаны с веб-компонентом TeamCity On‑Premises CI/CD и затрагивают все версии продукта до 2023.11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4.

CVE‑2024‑27198 (BDU:2024‑01792) — 9,8 из 10 баллов по шкале CVSS

Критическая уязвимость, которая позволяет злоумышленнику создавать нового пользователя с правами администратора без прохождения процессов аутентификации и авторизации. Благодаря этому атакующий может получить полный контроль над средой.

CVE‑2024‑27199 — 7,3 из 10 баллов по шкале CVSS

С помощью этой уязвимости атакующий может использовать технику path traversal, чтобы без аутентификации получить несанкционированный доступ к определенным файлам конфигурации TeamCity. Таким образом, посторонний без какой-либо аутентификации способен узнать о проектах в разработке и их статусах, а также получить другую критически важную информацию.

Чтобы избежать риска компрометации, необходимо установить обновление. Если организация по каким‑то причинам не готова в кратчайшие сроки перейти на новую версию JetBrains TeamCity, BI.ZONE WAF поможет в защите от атак с эксплуатацией. Новые защитные правила контролируют передаваемые параметры HTTP-запросов. Если в HTTP-запросе будут обнаружены аномалии, BI.ZONE WAF заблокирует его автоматически. Защиту от уязвимости CVE‑2024‑27199 обеспечивает классическое правило для борьбы с атаками типа path traversal.

Кроме того, наши специалисты по анализу защищенности разработали правила для сервиса BI.ZONE CPT. Они позволяют сканеру определять уязвимые версии TeamCity у клиентов.

После обнародования информации о CVE‑2024‑27198 и CVE‑2024‑27199 наши эксперты оперативно разработали правила защиты. Они уже действуют для всех клиентов и не требуют никаких дополнительных действий. О попытках эксплуатации пользователь может узнать из журнала событий личного кабинета, где отобразится информация о заблокированном запросе и его отправителе. Пользователь сможет получить информацию о том, с какого IP‑адреса и из какой страны была проведена атака, какой браузер при этом использовался, а также другие данные для анализа атаки и отчетности.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, противодействует ботнет‑активности и выявляет уязвимости. Сервис может использоваться для защиты веб‑приложений значимых объектов критической информационной инфраструктуры, государственных информационных систем и информационных систем персональных данных.