Criminelen maken actief misbruik van een kritieke kwetsbaarheid in TeamCity-servers voor het uitvoeren van ransomware-aanvallen. Een update is sinds 21 september beschikbaar, maar op internet zijn nog zeker dertienhonderd kwetsbare servers te vinden, waaronder meer dan zestig in Nederland. Dat laat de Shadowserver Foundation weten.

TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Organisaties kunnen het platform op een eigen server hosten of hiervoor een in de cloud gehoste oplossing gebruiken. Volgens zoekmachine Shodan zijn meer dan drieduizend on-premise TeamCity-servers op internet te vinden. Een kwetsbaarheid in TeamCity, aangeduid als CVE-2023-42793, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige code op de server uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

"Omdat deze kwetsbaarheid geen geldig account op de aangevallen server vereist en eenvoudig is te misbruiken, is het waarschijnlijk dat dit beveiligingslek actief zal worden misbruikt", zo waarschuwde Stefan Schiller van securitybedrijf Sonar Source eind september. Sonar Source ontdekte het beveiligingslek en rapporteerde dit aan JetBrains. Misbruik vindt inmiddels plaats, zo laten verschillende partijen onder andere via X weten. Zo meldt securitybedrijf Prodaft dat veel bekende ransomwaregroepen CVE-2023-42793 inmiddels in hun 'workflow' toepassen. Organisaties worden dan ook opgeroepen om hun servers te patchen.