Jetzt patchen! Deutschland führt Liste mit verwundbaren TeamCity-Systemen an

Softwareentwickler, die mit dem Continuous-Integration- und Deployment-Tool TeamCity arbeiten, sollten ihre Systeme umgehend auf den aktuellen Stand bringen. Zurzeit nutzen Angreifer zwei "kritische" Sicherheitslücken in On-Premises-Versionen aus.

Admin-Schwachstellen

Klappen Attacken, verschaffen sich Angreifer Adminrechte. In so einer Position können sie Schadcode in bestehende Softwareprojekte injizieren. Kommt die manipulierte Software in Umlauf, breitet sich der Schadcode immer weiter aus. Schließlich holen sich alle, die die Software nutzen, unwissentlich einen Trojaner auf ihre Systeme. So eine Supply-Chain-Attacke hat dementsprechend weitreichende Folgen.

Die dagegen abgesicherte On-Premises-Version 2023.11.4 ist bereits verfügbar. Die Cloud-Ausgabe von TeamCity ist dem Anbieter zufolge schon dagegen gerüstet. Sicherheitsforscher von Rapid7 dröseln die beiden Lücken (CVE-2024-27198, CVE-2024-27199) ausführlich auf.

Laufende Attacken

Offensichtlich haben viele Admins ihre Systeme noch nicht aktualisiert. Außerdem sind TeamCity-Instanzen öffentlich über das Internet erreichbar. Laut den Ergebnissen der Suchmaschine LeakIX sind weltweit rund 1700 Instanzen erreichbar und verwundbar. Davon finden sich über 330 Systeme in Deutschland. Knapp dahinter folgt die USA mit rund 300 Instanzen.

Sicherheitsforschern zufolge sollen weltweit bereits mehr als 1400 Systeme kompromittiert sein. Die Attacken steigen derzeit sprunghaft an und Admins sollten unverzüglich handeln und die gegen die Attacken abgesicherte Ausgabe installieren.

Um die Angriffsfläche zu verkleinern, sollten Software-Distributionssystem nur dann öffentlich am Internet hängen, wenn es wirklich nicht anders geht. Ist das der Fall, muss der Zugang zwingend, etwa via VPN, abgesichert werden.

(des)