Jetzt patchen! Ransomware schlüpft durch kritische TeamCity-Lücke

Derzeit nehmen verschiedenen Sicherheitsforschern zufolge mehrere Ransomware-Gangs ungepatchte TeamCity-Server ins Visier und infizieren Systeme mit Malware. Dagegen abgesicherte Versionen sind verfügbar, aber offensichtlich sind sie noch nicht flächendeckend installiert.

Den Entwicklern von TeamCity JetBrain zufolge kommt ihr System weltweit bei mehr als 30.000 Unternehmen wie Citibank, HP und Nike zum Einsatz.

Die „kritische“ Lücke (CVE-2023-42793) im Software-Distributionssystem ist seit Ende September 2023 bekannt und betrifft ausschließlich On-Premises-Installationen unter Linux, macOS und Windows. Auch die Docker-Variante soll betroffen sein. Die Cloud-Version ist von der Schwachstelle nicht bedroht. Die Entwickler geben an, die Ausgabe 2023.05.04 abgesichert zu haben. Außerdem gibt es noch die Security-Patch-Plug-ins TeamCity 2018.2 und TeamCity 8.0.

Laufende Attacken

Sind Attacken erfolgreich, können Angreifer auf Systeme zugreifen und etwa Sourcecode kopieren. Es ist auch vorstellbar, dass Angreifer legitimen Code mit Malware verseuchen und ahnungslose Entwickler diesen in Umlauf bringen. Für eine erfolgreiche Attacke müssen Angreifer Zugriff auf einen TeamCity-Server haben und mit präparierten HTTP(S)-Anfragen an der Schwachstelle ansetzen.

Sicherheitsforscher von Shadowserver sind weltweit auf über 1200 verwundbare TeamCity-Server gestoßen. Der Großteil davon ist in Europa. Unter anderem Sicherheitsforscher von Prodaft warnen vor Attacken mit Erpressungstrojanern. Solche PC-Schädlinge verschlüsseln Daten und fordern Lösegeld. Welche Gruppen dahinterstecken und in welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Jetzt patchen!

Admins sollten also sicherstellen, dass ihre TeamCity-Server auf dem aktuellen Stand und somit gegen die laufenden Attacken gerüstet sind.

(des)