{"id":515422,"date":"2024-04-24T10:11:53","date_gmt":"2024-04-24T09:11:53","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=515422"},"modified":"2024-04-25T13:20:10","modified_gmt":"2024-04-25T12:20:10","slug":"alerte-securite-jetbrains-teamcity-reponse-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-jetbrains-teamcity-reponse-produits-stormshield\/","title":{"rendered":"Alerte de s\u00e9curit\u00e9 JetBrains TeamCity : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

Quatre vuln\u00e9rabilit\u00e9s impactent l\u2019outil de CI\/CD TeamCity de JetBrains, permettant de r\u00e9aliser un bypass d\u2019authentification. Parmi elles, deux vuln\u00e9rabilit\u00e9s critiques, aux c\u00f4t\u00e9s d'une haute et d'une moyenne. Identifi\u00e9es par les r\u00e9f\u00e9rences CVE-2024-23917, CVE-2024-27198, CVE-2024-27199 et CVE-2024-24942, elles obtiennent respectivement un score CVSS v3.1 de 9,8, 9,8, 7,3 et 5,3. L\u2019\u00e9quipe Stormshield Customer Security Lab d\u00e9taille les protections fournies par Stormshield.<\/strong><\/p>\n

Tous les serveurs JetBrains TeamCity en versions inf\u00e9rieures \u00e0 2023.11.4 sont vuln\u00e9rables aux CVE-2024-27198 et CVE-2024-27199. Tous les serveurs en versions inf\u00e9rieures \u00e0 2023.11.3 sont vuln\u00e9rables aux CVE-2024-23917 et CVE-2024-24942. L\u2019exploitation s\u2019effectue via l\u2019interface web de l\u2019applicatif.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques des vuln\u00e9rabilit\u00e9s JetBrains<\/h2>\n

CVE-2024-23917<\/h3>\n

Cette premi\u00e8re vuln\u00e9rabilit\u00e9 CVE-2024-23917<\/a> permet de contourner l\u2019authentification du serveur, sans limitation. Elle r\u00e9side dans une erreur de conception de la fonction d\u00e9terminant si la requ\u00eate doit \u00eatre trait\u00e9e par le syst\u00e8me d\u2019authentification. Si la requ\u00eate finit par \u00ab\u00a0.jsp\u00a0\u00bb<\/code><\/em> ou \u00ab\u00a0.jspf\u00a0\u00bb<\/code><\/em> et contient le param\u00e8tre GET \u00ab\u00a0jsp_precompile\u00a0\u00bb<\/code><\/em> non nul, l\u2019authentification ne sera pas v\u00e9rifi\u00e9e. Il est possible d\u2019abuser de ce comportement, en injectant apr\u00e8s n\u2019importe quel chemin \u00ab\u00a0;nomdefichierbidon.jsp?jsp_precompile=1\u00a0\u00bb<\/code><\/em>. Par exemple\u00a0:\u00a0\u00ab\u00a0\/app\/rest\/users\/id:1\/tokens\/name;randomname.jsp?jsp_precompile=1\u00a0\u00bb<\/code><\/em><\/p>\n

CVE-2024-27198<\/h3>\n

Cette deuxi\u00e8me vuln\u00e9rabilit\u00e9 CVE-2024-27198<\/a> permet \u00e9galement de contourner l\u2019authentification du serveur. Elle r\u00e9side \u00e9galement dans l\u2019usage d\u2019un \u00ab\u00a0;\u00a0\u00bb<\/code><\/em> pour abuser un filtre, qui teste si le contenu du param\u00e8tre GET \u00ab\u00a0jsp\u00a0\u00bb<\/code><\/em> finit bien par \u00ab\u00a0.jsp\u00a0\u00bb<\/code><\/em>. En utilisant un chemin qui retourne une erreur 404 (par exemple \u00ab\u00a0\/abc\u00a0\u00bb<\/code><\/em>) et en y ajoutant le param\u00e8tre GET \u00ab\u00a0jsp\u00a0\u00bb<\/code><\/em> contenant le chemin que l\u2019on souhaite obtenir, suivi de \u00ab\u00a0;.jsp\u00a0\u00bb<\/code><\/em>, on peut alors acc\u00e9der \u00e0 tout chemin ne contenant pas \u00ab\u00a0admin\/\u00a0\u00bb<\/code><\/em> sans authentification. Par exemple\u00a0: \u00ab\u00a0\/abc?jsp=\/app\/rest\/users\/id:1\/tokens\/nameToken;.jsp\u00a0\u00bb<\/code><\/em><\/p>\n

CVE-2024-27199<\/h3>\n

Cette troisi\u00e8me vuln\u00e9rabilit\u00e9 CVE-2024-27199<\/a> permet de contourner l\u2019authentification du serveur via une travers\u00e9e de chemin. Dans certains chemins non authentifi\u00e9s, il est possible d\u2019injecter un \u00ab\u00a0..\/\u00a0\u00bb<\/code><\/em> et certains chemins acc\u00e9d\u00e9s seront alors sans authentification. Par exemple\u00a0: \u00ab\u00a0\/res\/..\/admin\/diagnostic.jsp\u00a0\u00bb<\/code><\/em><\/p>\n

CVE-2024-24942<\/h3>\n

Cette quatri\u00e8me vuln\u00e9rabilit\u00e9 CVE-2024-24942<\/a> est \u00e9galement une travers\u00e9e de chemin r\u00e9sidant dans \u00ab\u00a0\/app\/rest\/swagger*\u00a0\u00bb<\/code><\/em>. Le chemin suivant ce \u00ab\u00a0swagger*\u00a0\u00bb<\/code><\/em> est pass\u00e9 tel quel \u00e0 une fonction lisant le contenu du fichier indiqu\u00e9. Il est ainsi possible d\u2019effectuer une travers\u00e9e de dossier via \u00ab\u00a0..\/\u00a0\u00bb<\/code><\/em> et donc de lire certains fichiers. Cette vuln\u00e9rabilit\u00e9 est limit\u00e9e \u00e0 certains types de fichiers, ce qui explique son faible score CVSS. Par exemple\u00a0:\u00a0\u00ab\u00a0\/app\/rest\/swaggerui;\/..\/..\/web.xml\u00a0\u00bb<\/code><\/em><\/p>\n

 <\/p>\n

La mod\u00e9lisation de l'attaque avec MITRE ATT&CK<\/h2>\n

MITRE ATT&CK<\/h3>\n