Een kritieke kwetsbaarheid in TeamCity maakt het mogelijk om servers van softwareontwikkelaars over te nemen, wat vergaande gevolgen kan hebben, en onderzoekers verwachten dat aanvallers misbruik van het beveiligingslek zullen maken. Ontwikkelaar JetBrains heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus JetBrains.

Organisaties kunnen het platform op een eigen server hosten of hiervoor een in de cloud gehoste oplossing gebruiken. Volgens zoekmachine Shodan zijn meer dan drieduizend on-premise TeamCity-servers op internet te vinden. Een kwetsbaarheid in TeamCity, aangeduid als CVE-2023-42793, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De kwetsbaarheid maakt het niet alleen mogelijk voor aanvallers om broncode te stelen, maar ook opgeslagen service secrets en private keys. "En het wordt nog erger: met toegang tot het buildproces kunnen aanvallers malafide code injecteren, de integriteit van software releases compromitteren en alle downstream gebruikers raken", zegt Stefan Schiller van securitybedrijf Sonar Source dat het lek ontdekte en aan JetBrains rapporteerde.

"Omdat deze kwetsbaarheid geen geldig account op de aangevallen server vereist en eenvoudig is te misbruiken, is het waarschijnlijk dat dit beveiligingslek actief zal worden misbruikt", aldus Schiller. Vanwege de impact hebben zowel Sonar Source als JetBrains besloten om vooralsnog geen details van de kwetsbaarheid openbaar te maken.