Jetzt patchen! TeamCity-Schwachstelle ermöglicht Zugang ohne Authentifizierung
Ein Patch von JetBrains behebt eine kritische Schwachstelle in der On-Premises-Version des CI/CD-Servers.
(Bild: Sashkin/Shutterstock.com)
JetBrains hat einen Patch für die Software-Build-Plattform TeamCity veröffentlicht. Version 2023.11.3 behebt eine kritische Schwachstelle, mit der Angreifer die Authentifizierung der On-Premises-Variante von TeamCity umgehen können.
Da die Lücke alle Versionen des CI/CD-Servers (Continuous Integration, Continuous Delivery) von 2017.1 bis 2023.11.2 betrifft, empfiehlt JetBrains dringend, alle TeamCity-Systeme auf die jüngste Version zu aktualisieren.
Angriff auf die Software Supply Chain
Der tschechische Toolhersteller JetBrains, von dem auch zahlreiche Entwicklungsumgebungen wie IntelliJ IDEA stammen, stuft die Schwachstelle mit dem CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2024-23917 als kritisch ein, mit einem Score von 9.8/10.
Angreifer, die HTTP(S)-Zugriff auf einen TeamCity-Server haben, können die Authentifizierung nach dem Schema der CWE-288 (Common Weakness Enumeration) umgehen. Die technischen Details hat JetBrains nicht veröffentlicht.
Auf die Weise können Angreifer ohne Authentifizierung administrative Kontrolle über den betroffenen Server erlangen. Build-Server sind ein kritischer Bestandteil der Software Supply Chain. Wer Zugang darauf hat, kann potenziell nicht nur Sourcecode abgreifen, sondern auch verändern.
JetBrains führt auf der Produktseite unter anderem die Citibank, Ubisoft und HP als Referenzkunden für TeamCity auf, wobei nicht erkennbar ist, wie viele und welche der laut JetBrains etwa 30.000 Kunden TeamCity im eigenen Rechenzentrum betreiben.
Die Cloud-Variante war zwar ebenfalls von der Lücke betroffen, die JetBrains aber dafür inzwischen mit einem Patch geschlossen hat.
Update oder zumindest Patch dringend empfohlen
Wer die On-Premises-Variante benutzt, sollte möglichst umgehend eine Version ab 2023.11.3 entweder über das automatische Update oder manuell installieren.
Für diejenigen, für die ein Update auf das aktuelle Release nicht infrage kommt, hat JetBrains Patches bereitgestellt. Die Links dazu finden sich ebenso im JetBrains-Blog wie die Hinweise zum Aktualisieren des Servers.
Erinnerung an den Herbst
Im September 2023 hatte JetBrains bereits eine Schwachstelle in TeamCity gemeldet, der ebenfalls das Umgehen der Authentifizierung nach CWE-288 ermöglichte. Seinerzeit hatte das IT-Security-Unternehmen Sonar technische Details zu der Schwachstelle veröffentlicht.
Offenbar blieben viele Systeme seinerzeit ohne Sicherheitsupdate erreichbar: Im Oktober hatten laut Sicherheitsforschern Ransomware-Gangs die ungepatchten TeamCity-Server ins Visier genommen und mit Malware infiziert. Weitere Details zur aktuellen Lücke, Hinweise zu Updates und Links zu den Patches finden sich in einem Blogbeitrag von JetBrains.
(rme)
