APT29, ancaman persisten tingkat lanjut Rusia yang terkenal di balik peretasan SolarWinds tahun 2020, secara aktif mengeksploitasi kerentanan keamanan kritis di JetBrains TeamCity yang dapat membuka pintu bagi serangan rantai pasokan perangkat lunak yang merajalela.
Demikian pernyataan dari CISA, FBI, NSA, dan sejumlah mitra internasional, yang mengatakan dalam peringatan bersama hari ini bahwa APT29 (alias CozyBear, the Dukes, Badai Salju Tengah Malam, atau Nobelium) menyerang server yang menampung perangkat lunak TeamCity โdalam skala besarโ menggunakan bug eksekusi kode jarak jauh (RCE) yang tidak diautentikasi. Menurut FBI, eksploitasi masalah ini, dilacak sebagai CVE-2023-42793 (skor CVSS 9.8), dimulai pada bulan September setelah JetBrains menambal kelemahan tersebut dan Rapid7 merilis eksploitasi bukti konsep (PoC) publik untuk kelemahan tersebut; namun kini, hal tersebut telah berkembang menjadi fenomena global yang mengkhawatirkan dan dapat mengakibatkan kerusakan yang luas.
Platform yang terkena dampak adalah alat manajemen siklus hidup pengembangan perangkat lunak (SDLC), yang menampung segala sesuatu mulai dari kode sumber hingga penandatanganan sertifikat. Serangan yang berhasil dapat memberikan penyerang siber akses terhadap data berharga tersebut, namun juga dapat memberikan cara untuk mengubah proses kompilasi dan penerapan perangkat lunak โ meningkatkan kemungkinan serangan lain akan terjadi. Gelombang serangan tipe SolarWinds bisa saja dalam waktu dekat.
โ[Suatu eksploitasi] memungkinkan penerapan pembaruan berbahaya yang, dalam skenario paling sederhana, dapat mengeksekusi alat musuh sehingga memungkinkan akses ke perangkat atau seluruh jaringan,โ menurut Peringatan bersama hari Rabu mengenai serangan TeamCity. โDalam skenario yang lebih rumit, akses ke jalur pembangunan dapat memungkinkan kompromi kode sumber yang dikompilasi dan pengenalan modifikasi perangkat lunak yang hampir tidak dapat dideteksi โ seperti perubahan kecil pada protokol kriptografi yang dapat memungkinkan dekripsi data yang dilindungi.โ
Pintu Belakang TeamCity yang Persisten Tahan terhadap Penambalan
Dalam insiden SolarWinds, APT29 mampu menyembunyikan pembaruan perangkat lunak SolarWinds yang sah, dan secara otomatis mendarat di banyak jaringan korban. Dari 18,000 orang yang dikompromikan, kelompok ini memilih target serangan gelombang kedua, dan berhasil menyusup ke beberapa lembaga pemerintah dan perusahaan teknologi AS termasuk Microsoft dan FireEye (sekarang bagian dari Trellix).
Untuk saat ini, serangan TeamCity belum sejauh itu. Namun APT29, yang dihubungkan oleh badan-badan tersebut dengan Badan Intelijen Luar Negeri (SVR) Rusia, โterlihat menggunakan akses awal yang diperoleh dengan mengeksploitasi TeamCity CVE untuk meningkatkan hak istimewanya, bergerak ke samping, menerapkan pintu belakang tambahan, dan mengambil langkah-langkah lain untuk memastikan kegigihan dan akses jangka panjang ke lingkungan jaringan yang disusupi,โ menurut peringatan tersebut.
Dan tentu saja, jika Anda adalah ancaman bagi negara yang sedang mencari peluang besar, salah satu keuntungan menggunakan eksploitasi ini adalah kenyataan bahwa patching saja tidak akan mengurangi bahaya tersebut. Seperti yang JetBrains tunjukkan dalam peringatan bug aslinya, โSetiap pintu belakang kemungkinan besar akan tetap ada dan tidak terdeteksi setelah pembaruan TeamCity atau plugin patch keamanan diterapkan, sehingga meninggalkan lingkungan yang berisiko untuk dieksploitasi lebih lanjut.โ
Menurut Shadowserver, setidaknya ada sekilas 800 contoh perangkat lunak TeamCity yang belum ditambal seluruh dunia terpapar Internet; tidak jelas berapa banyak instance yang telah ditambal tetapi mungkin masih ada yang disusupi. Dan tentu saja, angka tersebut belum memperhitungkan kasus-kasus yang tidak terpapar yang dapat dijangkau oleh musuh canggih yang memiliki akses sebelumnya ke jaringan perusahaan.
Kesibukan Pengembang Sasaran APT Melalui CVE-2023-42793
APT29 bukan satu-satunya ancaman siber yang disponsori negara yang memperhatikan hadiah menggiurkan yang ditawarkan dalam kasus TeamCity yang rentan. Pada bulan Oktober, Pusat Intelijen Ancaman Microsoft menunjuk beberapa APT yang didukung Korea Utara, termasuk Lazarus Group (alias Diamond Sleet, Hidden Cobra, atau Zinc) dan cabangnya Andariel (alias Onyx Sleet atau Plutonium), dengan menggunakan TeamCity rentan memasang pintu belakang yang persisten.
Dan dalam beberapa kasus, ada lebih dari satu Big Bad yang sedang bekerja. Para peneliti di perusahaan keamanan siber Fortinet โ yang pada hari Rabu mengeluarkan penjelasan mendalam tentang mekanisme insiden dunia nyata di sebuah perusahaan manufaktur biomedis AS, bersama dengan indikator kompromi (IoC) dan panduan mitigasi โ mencatat bahwa โeksploitasi yang diamati berasal dari berbagai aktor ancaman yang menggunakan berbagai teknik pasca-eksploitasi dalam upaya untuk mendapatkan pijakan dalam jaringan korban.โ
Cara Melindungi Terhadap Serangan Siber TeamCity JetBrains
Untuk mengatasi bahaya yang ditimbulkan oleh bug TeamCity โ misalnya, โkerusakan besar terhadap perekonomian, organisasi sipil, atau keselamatan publik,โ menurut peringatan bersama โ organisasi harus mulai dengan memperbaiki setiap kejadian yang rentan (hingga versi 2023.05.4). Dari sana, melakukan perburuan ancaman aktif berdasarkan IoC untuk mengungkap dan menghapus pintu belakang yang persisten harus menjadi prioritas utama, menurut Fortinet dan Microsoft, keduanya menawarkan panduan lengkap mengenai hal tersebut. Server TeamCity dan agen pembangunan harus diperiksa untuk mengetahui tanda-tanda masalah.
JetBrains, dalam penasihat keamanan CVE-2023-42793, merekomendasikan agar server apa pun yang dapat diakses publik dihapus dari jangkauan Internet sementara tim melakukan investigasi patching dan kompromi.
Perusahaan juga memperingatkan bahwa meskipun para peneliti telah mengamati lingkungan TeamCity berbasis Windows sedang dieksploitasi secara aktif, โhal ini tidak menutup kemungkinan bahwa lingkungan TeamCity berbasis Linux juga dieksploitasi dengan cara yang sama.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/global-teamcity-exploitation-opens-door-to-solarwinds-style-nightmare
- :memiliki
- :adalah
- :bukan
- 000
- 2020
- 2023
- 7
- 8
- 9
- a
- Sanggup
- mengakses
- dapat diakses
- Menurut
- Akun
- aktif
- aktif
- aktor
- Tambahan
- maju
- laporan
- terpengaruh
- Setelah
- terhadap
- lembaga
- agen
- alias
- Waspada
- mengizinkan
- hampir
- sendirian
- sepanjang
- juga
- an
- dan
- Lain
- Apa pun
- terapan
- ADALAH
- AS
- At
- menyerang
- Serangan
- usaha
- secara otomatis
- jauh
- backdoors
- Buruk
- berdasarkan
- BE
- menjadi
- di belakang
- makhluk
- Manfaat
- Besar
- biomedis
- kedua
- Bug
- membangun
- tapi
- by
- membawa
- kasus
- pusat
- sertifikat
- rantai
- Perubahan
- sipil
- kode
- memerangi
- Perusahaan
- perusahaan
- dikompilasi
- rumit
- kompromi
- Dikompromikan
- kompromi
- melakukan
- Timeline
- bisa
- Kelas
- kritis
- kriptografi
- cve
- Keamanan cyber
- kerusakan
- BAHAYA
- data
- menyebarkan
- penggelaran
- penyebaran
- pengembang
- Pengembangan
- Devices
- Diamond
- berbeda
- beberapa
- doesn
- Oleh
- e
- ekonomi
- dipekerjakan
- aktif
- memungkinkan
- besar sekali
- memastikan
- lingkungan
- meningkatkan
- segala sesuatu
- menjalankan
- eksekusi
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- mengeksploitasi
- terkena
- fakta
- jauh
- fbi
- FBI
- Perusahaan
- Pertama
- cacat
- Untuk
- asing
- Fortinet
- dari
- depan
- lebih lanjut
- Mendapatkan
- Memberikan
- Sekilas
- Aksi
- mati
- Pemerintah
- instansi pemerintah
- Kelompok
- dewasa
- bimbingan
- terjangan
- Memiliki
- Tersembunyi
- tuan rumah
- tuan
- rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- Pemburuan
- i
- if
- in
- insiden
- Termasuk
- memang
- mulanya
- install
- Intelijen
- Internasional
- Internet
- ke
- Pengantar
- Investigasi
- isu
- Ditempatkan
- IT
- NYA
- bersama
- jpg
- pendaratan
- besar
- Lazarus
- Grup Lazarus
- paling sedikit
- meninggalkan
- sah
- siklus hidup
- Mungkin
- terkait
- jangka panjang
- mencari
- pengelolaan
- pabrik
- banyak
- Mungkin..
- mekanika
- Microsoft
- Mengurangi
- mitigasi
- lebih
- pindah
- beberapa
- jaringan
- jaringan
- utara
- terkenal
- Melihat..
- terkenal jahat
- sekarang
- jumlah
- banyak sekali
- Oktober
- of
- menawarkan
- Sebentar lagi
- on
- ONE
- hanya
- Onyx
- Buka
- membuka
- Peluang
- or
- organisasi
- asli
- berasal
- Lainnya
- di luar
- bagian
- rekan
- tambalan
- Menambal
- gejala
- pipa saluran
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Plugin
- PoC
- berpose
- kemungkinan
- Perdana
- Sebelumnya
- prioritas
- hak
- hadiah
- proses
- melindungi
- terlindung
- protokol
- memberikan
- publik
- di depan umum
- pemeliharaan
- RE
- mencapai
- dunia nyata
- direkomendasikan
- dirilis
- tinggal
- terpencil
- menghapus
- Dihapus
- peneliti
- mengakibatkan
- dihasilkan
- Risiko
- Aturan
- Rusia
- Rusia
- s
- Safety/keselamatan
- Tersebut
- Skala
- skenario
- skenario
- skor
- keamanan
- patch keamanan
- kerentanan keamanan
- September
- Server
- Server
- layanan
- beberapa
- harus
- penandatanganan
- Tanda
- mirip
- Perangkat lunak
- pengembangan perangkat lunak
- rantai pasokan perangkat lunak
- SuryaAngin
- beberapa
- mutakhir
- sumber
- kode sumber
- awal
- mulai
- Tangga
- Kemudian
- sukses
- berhasil
- seperti itu
- menyediakan
- supply chain
- Mengambil
- menggoda
- target
- target
- tim
- tech
- perusahaan teknologi
- teknik
- dari
- bahwa
- Grafik
- sendi
- Sana.
- ini
- ancaman
- aktor ancaman
- Melalui
- untuk
- hari ini
- alat
- alat
- puncak
- kesulitan
- menemukan
- Memperbarui
- Pembaruan
- meningkatkan
- us
- pemerintah kita
- menggunakan
- Berharga
- versi
- diperiksa
- Korban
- kerentanan
- Rentan
- memperingatkan
- adalah
- Cara..
- cara
- Rabu
- yang
- sementara
- SIAPA
- seluruh
- tersebar luas
- dengan
- Won
- Word
- Kerja
- industri udang di seluruh dunia.
- mengkhawatirkan
- namun
- Kamu
- zephyrnet.dll