Обновите сервер TeamCity: хакеры готовятся к атаке на цепочку поставок ПО с помощью CVE-2023-42793

Обновите сервер TeamCity: хакеры готовятся к атаке на цепочку поставок ПО с помощью CVE-2023-42793

Подготовительный этап откроет путь для массовых шпионских кампаний и кражи данных.

image

Агентство CISA предупреждает, что хакерская группа APT29 с сентября 2023 года осуществляет атаки на неисправленные серверы TeamCity. В ходе атак эксплуатируется уязвимость CVE-2023-42793 (CVSS: 9.8) в TeamCity, позволяющая неаутентифицированному хакеру достигнуть удаленного выполнения кода (Remote Code Execution, RCE) без взаимодействия с пользователем.

CISA заявляет, что получение доступа к TeamCity позволяет атакующему повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения

Отмечается, что APT29 еще не использовала возможность компрометации разработчиков ПО для доступа к сетям клиентов и, вероятно, все еще находится на подготовительной стадии своей работы. Доступ к сетям компаний дает группе возможности реализовать трудно обнаруживаемую инфраструктуру управления и контроля (Command and Control, С2).

Швейцарская ИБ-компания Sonar, которая обнаружила и сообщила о данной уязвимости, опубликовала полную техническую информацию о недостатке спустя неделю после того, как JetBrains 21 сентября выпустила версию TeamCity 2023.05.4 , устраняющую проблему. По данным Shadowserver Foundation, свыше 730 серверов TeamCity до сих пор уязвимы для атак.

JetBrains подтвердила, что уязвимость затрагивает все версии TeamCity до последнего исправленного выпуска 2023.05.4, однако под угрозой только локальные серверы, установленные на Windows, Linux и macOS, а также работающие в Docker.

Через несколько дней после публикации отчёта Sonar компании GreyNoise и PRODAFT сообщили о том, что вымогатели начали эксплуатировать уязвимость для взлома корпоративных сетей. Также Microsoft заявляла, что северокорейские группировки Lazarus и Andariel эксплуатировали CVE-2023-42793 для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.

По информации JetBrains, их программное обеспечение TeamCity используется более чем в 30 000 организаций по всему миру. По словам компании, более 98% всех серверов TeamCity уже обновлены. В JetBrains также добавили, что фирма предприняла дополнительные меры по информированию клиентов о необходимости обновления ПО и применении лучших практик безопасности.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь