Az APT29, a 2020-as SolarWinds feltörés mögött meghúzódó hírhedt orosz fejlett fenyegetés aktívan kihasználja a JetBrains TeamCity kritikus biztonsági rését, amely megnyithatja az ajtót a szoftverellátási lánc burjánzó támadásai előtt.
That’s the word from CISA, the FBI, the NSA, and a host of international partners, who said in a joint alert today that APT29 (aka CozyBear, the Dukes, Midnight Blizzard, or Nobelium) is hammering servers hosting TeamCity software “at a large scale” using the unauthenticated remote code execution (RCE) bug. According to the feds, the exploitation of the issue, tracked as CVE-2023 42793- (CVSS pontszám 9.8), szeptemberben indult, miután a JetBrains kijavította a hibát, és a Rapid7 kiadott egy nyilvános koncepcióbizonyítványt (PoC); de mára aggasztó globális jelenséggé nőtte ki magát, amely széles körű károkat okozhat.
Az érintett platform egy szoftverfejlesztési életciklus (SDLC) felügyeleti eszköz, amely a forráskódtól az aláírási tanúsítványokig mindent tartalmaz. A sikeres behatolások hozzáférést biztosíthatnak a kibertámadók számára ezekhez az értékes adatokhoz, de módot adhatnak a szoftverösszeállítások és a telepítési folyamatok megváltoztatására is – felveheti annak lehetőségét, hogy egy másik SolarWinds típusú támadási hullám kilátásban lehet.
“[An exploit] may allow for deploying a malicious update which, in the simplest scenario, could execute adversary tools resulting in enabling access to devices or whole networks,” according to Wednesday’s joint alert on the TeamCity attacks. “In more complicated scenarios, access to the build pipeline could allow for compromising compiled source code and for introduction of almost indetectable modification to software — such as minuscule changes to cryptography protocols that could enable decryption of the protected data.”
A kitartó TeamCity hátsó ajtók ellenállnak a foltozásnak
A SolarWinds incidens során az APT29 képes volt elrakni a legális SolarWinds szoftverfrissítéseket, és automatikusan az áldozathálózatok légióira került. A 18,000 XNUMX kompromittált ember közül a csoport a második hullámú betörés célpontjait választotta ki, és sikeresen beszivárgott több amerikai kormányhivatalba és technológiai vállalatba, köztük microsoft és a FireEye (ma a Trellix része).
For now, the TeamCity attacks have not yet gone that far. But APT29, which the agencies have linked to Russia’s Foreign Intelligence Service (SVR), has “been observed using the initial access gleaned by exploiting the TeamCity CVE to escalate its privileges, move laterally, deploy additional backdoors, and take other steps to ensure persistent and long-term access to the compromised network environments,” according to the alert.
And indeed, if you’re a nation-state threat looking for prime lurking opportunities, one of the benefits of using the exploit is the fact that patching alone won’t mitigate the danger. As JetBrains pointed out in its original bug advisory, “Any backdoors are likely to persist and remain undetected after the TeamCity upgrade or security patch plugin are subsequently applied, leaving environments at risk of further exploitation.”
A Shadowserver szerint első pillantásra legalábbis vannak 800 javítatlan TeamCity szoftverpéldány worldwide exposed to the Internet; it’s unclear how many instances have been patched but may remain compromised. And of course, that number doesn’t take into account unexposed instances that are reachable by sophisticated adversaries with prior access to corporate networks.
Az APT-k tömege célozza meg a fejlesztőket a CVE-2023-42793 segítségével
APT29 is not the only state-sponsored cyberthreat to take notice of the tantalizing prizes on offer in vulnerable TeamCity instances. In October, Microsoft’s Threat Intelligence Center pointed to several North Korea-backed APTs, including Lazarus Group (aka Diamond Sleet, Hidden Cobra, or Zinc) and its offshoot Andariel (aka Onyx Sleet or Plutonium), using the TeamCity vuln állandó hátsó ajtók telepítéséhez.
És bizonyos esetekben több Big Bad is működik. A Fortinet kiberbiztonsági cég kutatói szerdán egy amerikai orvosbiológiai gyártó cégnél történt valós incidens mechanikájába vetettek be mélyreható vizsgálatot. a kompromisszum indikátorai (IoC) és a mérséklési iránymutatás — noted that “observed exploitation originated from multiple disparate threat actors who employed numerous diverse post-exploitation techniques in an attempt to gain a foothold in the victim network.”
Hogyan védekezzünk a JetBrains TeamCity kibertámadásai ellen
To combat the danger posed by the TeamCity bug — i.e., “enormous damages for the economy, civilian organizations, or public safety,” according to the joint alert — organizations should start by patching any vulnerable instances (to version 2023.05.4). From there, conducting active threat hunting based on the IoCs to uncover and remove persistent backdoors should be a top priority, according to Fortinet and Microsoft, both of which offer exhaustive guidance on that front. Both the TeamCity server and build agents should be vetted for signs of trouble.
A JetBrains a CVE-2023-42793 biztonsági tanácsában azt javasolta, hogy minden nyilvánosan elérhető szervert távolítsanak el az internet hatóköréből, amíg a csapatok javítási és kompromittációs vizsgálatokat végeznek.
The company also warned that while researchers have observed Windows-based TeamCity environments being actively exploited, “this doesn’t rule out Linux-based TeamCity environments also being exploited in similar ways.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/global-teamcity-exploitation-opens-door-to-solarwinds-style-nightmare
- :van
- :is
- :nem
- 000
- 2020
- 2023
- 7
- 8
- 9
- a
- Képes
- hozzáférés
- hozzáférhető
- Szerint
- Fiók
- aktív
- aktívan
- szereplők
- További
- fejlett
- tanácsadó
- érintett
- Után
- ellen
- ügynökségek
- szerek
- aka
- Éber
- lehetővé
- majdnem
- kizárólag
- mentén
- Is
- an
- és a
- Másik
- bármilyen
- alkalmazott
- VANNAK
- AS
- At
- támadás
- Támadások
- kísérlet
- automatikusan
- el
- Hátsóajtó
- Rossz
- alapján
- BE
- óta
- mögött
- hogy
- Előnyök
- Nagy
- orvosbiológiai
- mindkét
- Bogár
- épít
- de
- by
- visz
- esetek
- Központ
- tanúsítványok
- lánc
- Változások
- polgári
- kód
- elleni küzdelem
- Companies
- vállalat
- összeállított
- bonyolult
- kompromisszum
- Veszélyeztetett
- veszélyeztetése
- vezető
- Társasági
- tudott
- Tanfolyam
- kritikai
- kriptográfia
- cve
- Kiberbiztonság
- kár
- VESZÉLY
- dátum
- telepíteni
- bevezetéséhez
- bevetés
- fejlesztők
- Fejlesztés
- Eszközök
- gyémánt
- eltérő
- számos
- nem
- Által
- e
- gazdaság
- munkavállaló
- lehetővé
- lehetővé téve
- hatalmas
- biztosítására
- környezetek
- eszkalálódnak
- minden
- kivégez
- végrehajtás
- Exploit
- kizsákmányolás
- Hasznosított
- kiaknázása
- kitett
- tény
- messze
- FBI
- FBI
- Cég
- vezetéknév
- hibája
- A
- külföldi
- Fortinet
- ból ből
- front
- további
- Nyereség
- Ad
- Pillantás
- Globális
- elmúlt
- Kormány
- kormányzati szervek
- Csoport
- felnőtt
- útmutatást
- csapkod
- Legyen
- Rejtett
- vendéglátó
- tárhely
- házak
- Hogyan
- HTTPS
- Vadászat
- i
- if
- in
- incidens
- Beleértve
- valóban
- kezdetben
- telepíteni
- Intelligencia
- Nemzetközi
- Internet
- bele
- Bevezetés
- Laboratóriumi vizsgálatok eredményei
- kérdés
- Kiadott
- IT
- ITS
- közös
- jpg
- leszállási
- nagy
- Lázár
- Lazarus csoport
- legkevésbé
- kilépő
- jogos
- életciklus
- Valószínű
- összekapcsolt
- hosszú lejáratú
- keres
- vezetés
- gyártási
- sok
- Lehet..
- mechanika
- microsoft
- Enyhít
- enyhítés
- több
- mozog
- többszörös
- hálózat
- hálózatok
- Északi
- neves
- Értesítés..
- hirhedt
- Most
- szám
- számos
- október
- of
- ajánlat
- Nyílt tenger
- on
- ONE
- csak
- Ónix
- nyitva
- nyit
- Lehetőségek
- or
- szervezetek
- eredeti
- származik
- Más
- ki
- rész
- partnerek
- Tapasz
- Foltozás
- jelenség
- csővezeték
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- csatlakoztat
- PoC
- jelent
- lehetőség
- Első
- Előzetes
- prioritás
- kiváltságok
- díjak
- Folyamatok
- védelme
- védett
- protokollok
- ad
- nyilvános
- nyilvánosan
- emelés
- RE
- el
- való Világ
- ajánlott
- felszabaduló
- marad
- távoli
- eltávolítása
- eltávolított
- kutatók
- eredményez
- kapott
- Kockázat
- Szabály
- Oroszország
- orosz
- s
- Biztonság
- Mondott
- Skála
- forgatókönyv
- forgatókönyvek
- pontszám
- biztonság
- biztonsági javítás
- biztonsági rés
- szeptember
- szerver
- Szerverek
- szolgáltatás
- számos
- kellene
- aláírás
- Jelek
- hasonló
- szoftver
- szoftverfejlesztés
- szoftver ellátási lánc
- SolarWinds
- néhány
- kifinomult
- forrás
- forráskód
- kezdet
- kezdődött
- Lépései
- Később
- sikeres
- sikeresen
- ilyen
- kínálat
- ellátási lánc
- Vesz
- csábító
- cél
- célok
- csapat
- tech
- tech cégek
- technikák
- mint
- hogy
- A
- az ízület
- Ott.
- ezt
- fenyegetés
- fenyegetés szereplői
- Keresztül
- nak nek
- Ma
- szerszám
- szerszámok
- felső
- baj
- feltárni
- Frissítések
- Frissítés
- frissítés
- us
- minket kormány
- segítségével
- Értékes
- változat
- megvizsgálták
- Áldozat
- sebezhetőség
- Sebezhető
- figyelmeztetett
- volt
- Út..
- módon
- Szerda
- ami
- míg
- WHO
- egész
- széles körben elterjedt
- val vel
- Nyerte
- szó
- Munka
- világszerte
- aggasztó
- még
- te
- zephyrnet