CISA ve Ortak Siber Güvenlik Ajansları ve İstihbarat Hizmetleri, Rusya'nın Dış İstihbarat Servisi'ne (SVR) bağlı APT29 hackleme grubunun Eylül 2023'ten bu yana yaygın saldırılarda takılmamış TeamCity sunucularını hedeflediği konusunda uyardı.
APT29, üç yıl önce düzenledikleri Solarwinds tedarik zinciri saldırısını takiben birkaç ABD federal ajansını ihlal ettiği biliniyor.
Ayrıca, dış politika ile ilgili bilgilere erişme çabalarının bir parçası olarak NATO ülkeleri içindeki birden fazla kuruluşun Microsoft 365 hesaplarını hedeflediler ve Avrupa'daki hükümetlere, eşzamanlılara ve üst düzey yetkililere yönelik bir dizi kimlik avı kampanyasına bağlandılar.
Bu saldırılarda sömürdükleri TeamCity Güvenlik Koşusu, CVE-2023-42793 olarak tanımlanır ve 9.8/10 kritik bir şiddet puanı ile derecelendirilmiştir, bu da kimlik doğrulanmamış tehdit aktörlerinin düşük karmaşıklık uzaktan kod yürütme (RCE) saldırılarında sömürülebilir. Kullanıcı etkileşimi gerektirmez.
Cisa, "Bir yazılım geliştirme programı olan CVE-2023-42793'ten yararlanmayı seçerek, yazarlık ajansları SVR'nin, özellikle tehdit aktörlerinin düzinelerce yazılım geliştiricisinin ağlarını tehlikeye atmasına izin vererek mağdurlara erişimden faydalanabileceğini değerlendirdi."
"Bununla birlikte, SVR, ayrıcalıklarını yükseltmek, yanal olarak hareket etmek, ek backdoors dağıtmak için TeamCity CVE'den yararlanarak toplanan ilk erişim kullanılarak gözlemlenmiştir ve tehlikeye atılan ağ ortamlarına kalıcı ve uzun vadeli erişim sağlamak için başka adımlar atmıştır.
"Yazarlık ajansları değerlendirirken, SVR, müşteri ağlarına erişmek için yazılım geliştiricilerine erişimlerini henüz kullanmamış ve muhtemelen bu şirketlerin ağlarına erişebilmek, SVR'ye zorlanıyor. -Komut ve Kontrol (C2) altyapısını belirleyin. "
Kusurları keşfeden ve bildiren İsviçre güvenlik firması Sonar'dan araştırmacılar, Jetbrains'in 21 Eylül'de kritik sorunu ele almak için TeamCity 2023.05.4'ü yayınlamasından bir hafta sonra teknik detaylar yayınladı.
Sonar, "Bu, saldırganların sadece kaynak kodu çalmasını değil, aynı zamanda hizmet sırlarını ve özel anahtarları da saklamalarını sağlıyor."
"Ve daha da kötüsü: Yapım sürecine erişim ile saldırganlar kötü niyetli kodlar enjekte edebilir, yazılım bültenlerinin bütünlüğünü tehlikeye atabilir ve tüm aşağı akış kullanıcılarını etkileyebilir."
Kâr amacı gütmeyen İnternet Güvenlik Kıyafetinde Güvenlik Araştırmacıları Shadowserver Foundation, saldırılara karşı savunmasız olan yaklaşık 800 Unbatched TeamCity sunucusunu izliyor.
Tehdit İstihbarat Şirketleri Greynoise ve Probrt'a göre, Ekim ayı başlarında, birkaç fidye yazılımı çetesi kurumsal ağları ihlal etmek için güvenlik açığından yararlanıyordu.
Grinnoise, takım sunucularını ihlal etmeyi amaçlayan koordineli çabaların bir parçası olarak 56 farklı IP adresinden saldırıları tespit etti.
İki gün önce, şirket ayrıca 29 Eylül'den önce sunucularını güvence altına almayı ihmal eden kuruluşların zaten ihlal edildiğini söyledi.
Microsoft daha sonra Lazarus ve Andariel North Kore devlet destekli hack gruplarının, muhtemelen yazılım tedarik zinciri saldırılarına hazırlanırken CVE-2023-42793 istismarlarını kullanarak kurbanların ağlarını geri kapıdan kaptırdığını söyledi.
Jetbrains, geliştiricilerin Citibank, Ubisoft, HP, Nike ve Ferrari gibi yüksek profilli olanlar da dahil olmak üzere dünya çapında 30.000'den fazla organizasyonda TeamCity yazılım oluşturma ve test platformunu kullandığını söylüyor.
GÜNCELLEME 13 Aralık 15:32 EST: Jetbrains güvenlik başkanı Yaroslav Russkih, BleepingComputer'a tüm TeamCity sunucularının% 98'inden fazlasının zaten yamalı olduğunu söyledi.
"Bu yılın başlarında bu güvenlik açığı hakkında bilgilendirildik ve hemen 18 Eylül 2023'te piyasaya sürülen TeamCity 2023.05.4 güncellemesinde düzelttik. Ayrıca, TeamCity'nin eski sürümlerini kullanan kuruluşlar için zaman içinde yükselemedikleri özel bir güvenlik yaması yayınladık "dedi.
"Buna ek olarak, müşterilerimizin yapım boru hatlarının güvenliğini güçlendirmesine yardımcı olmak için en iyi güvenlik uygulamalarını paylaşıyoruz. Şu an itibariyle, sahip olduğumuz istatistiklere göre, TeamCity örneklerinin% 2'sinden daha azı hala açılmamış yazılım işliyor ve biz Umarız sahipleri onları hemen yamalayın. Bu güvenlik açığı sadece TeamCity'nin şirket içi örneklerini etkilerken, bulut sürümümüz etkilenmedi. "
Rus hackerlar NGROK özelliğini kullanıyor ve Büyükelçiliklere Saldırmak İçin Winrar Sustamya
Ukrayna ordusu Rusya'nın federal vergi ajansını hacklediğini söylüyor
Rus askeri bilgisayar korsanları NATO Hızlı Reaksiyon Kolordusu
İngiltere ve Müttefikler Rus FSB Hacking Group, Yaptırım Üyeleri
Rus hackerlar, değişim hesaplarını ele geçirmek için Outlook Hatası'nı sömürüyor
Kaynak: Bleeping Computer