​黑客利用TeamCity最新漏洞成功创建管理员帐户

TeamCity 是一个通用 CI/CD 软件平台,可实现灵活的工作流程、协作和开发实践。TeamCity 提供一系列特性可以让团队快速实现持续继承:IDE 工具集成、各种消息通知、各种报表、项目的管理、分布式的编译等等。

近期黑客正在大规模利用最近披露的 TeamCity 本地版本中的一个关键身份验证绕过漏洞( CVE-2024-27198)。JetBrains 在3.5的更新中修复了这些漏洞,但研究人员警告运行未修补实例的用户可能会受到损害。

暴露设备错误配置和漏洞的搜索引擎 LeakIX 表示,在扫描受感染的 TeamCity 服务器时,它观察到1,711 个易受攻击的实例,其中“1442 个显示出流氓用户创建的明显迹象。如果您曾经或仍在运行易受攻击的系统,请假设受到攻击,并尽快采取缓解措施。”

根据对该漏洞的详细描述,以及公开的相应漏洞展示了获得服务器管理权限后的完整服务器接管策略,研究人员在本周早些时候已经警告说,TeamCity的 CVE-2024-27198 漏洞将立即被利用。

据悉一家未公开的金融和保险部门组织的 TeamCity 遭到了此漏洞利用的攻击,该漏洞用于获得初始访问权限并横向移动到其他系统。塞讯安全实验室了解到:“攻击者在获得初始访问权限后,攻击者创建了一个管理员帐户,植入了 PowerShell 脚本,并部署了一个未被识别的恶意软件。”

攻击者者在网络公开的 TeamCity 实例上创建了一个“TeamCityService”帐户。在TeamCity的软件构建环境中,攻击者通过 winpty-agent.exe 将未签名的 SysUpdate.exe 可执行文件植入 C: 目录中。

建立立足点后,攻击者计划在构建环境中安排每天上午 10:00 执行SysUpdate.exe,并创建“管理员”用户,将其添加到 24 个组。随后,攻击者删除了web.ps1PowerShell 脚本,但其执行并未被检测到。

然后,攻击者将相同的恶意可执行文件植入到受感染组织的另一个构建环境中,但此后没有观察到来自“管理员”帐户的进一步恶意活动。

此未签名的SysUpdate.exe难以捉摸,攻击者提取了本地安全机制的密钥,反复更改本地管理员帐户的密码。LSA 密钥包含各种密码,包括用户凭证、服务帐户、Internet Explorer、RAS 连接、SQL、系统帐户和私有用户数据(例如加密文件系统加密密钥)。

塞讯安全实验室还观察到针对多个目标的主动攻击或攻击尝试。

JetBrains 最初在一篇简短的博客文章中宣布发布 TeamCity 2023.11.4,该版本解决了这两个漏洞,该公司表示:“我们不会透露安全相关问题的详细信息,以避免继续使用 TeamCity 之前的错误修复和/或主要版本的客户受到损害。”

但发现该漏洞的Rapid7周一根据自己的漏洞披露政策发布了详细的技术咨询。该通报包括演示 TeamCity 漏洞利用的POC,迫使 JetBrains 发布第二篇博客文章,披露问题的严重性以及利用该漏洞的后果。

Rapid7 发布数小时后,GitHub 上发布了其他几个针对 CVE-2024-27198 的 POC 漏洞利用代码 – POC 1、POC 2和POC 3,迫使研究人员对Rapid7的早期完整POC发布提出质疑。其中一个 POC 如果成功,将添加一个新的管理员用户,而另外两个则执行远程代码执行,并且还包含添加管理员用户的功能。

由于公开提供了许多不同的 POC,并且利用尝试的数量激增,JetBrains 和研究人员建议客户尽快应用 TeamCity 的升级。

针对该漏洞利用的攻击模拟规则已经加入到塞讯安全度量验证平台中,如果您的环境中也在使用TeamCity,您可以在塞讯安全度量验证平台中搜索关键词“TeamCity”“CVE-2024-27198”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该漏洞,平台以业界独有方式确保您的验证过程安全无害。