Οι συμμορίες ransomware στοχεύουν τώρα μια πρόσφατα διορθωμένη κρίσιμη ευπάθεια στον διακομιστή συνεχούς ενοποίησης και ανάπτυξης TeamCity της JetBrains.
Το ελάττωμα (παρακολουθείται ως
CVE-2023-42793
και επισημαίνεται με βαθμολογία σοβαρότητας 9,8/10) επιτρέπει στους μη
επα
ληθευμένους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) μετά την επιτυχή εκμετάλλευση ενός
αδυναμία παράκαμψης ελέγχου ταυτότητας
σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Η ελβετική εταιρεία ασφαλείας Sonar (της οποίας οι ερευνητές ανακάλυψαν και ανέφεραν την ευπάθεια) δημοσίευσε
πλήρεις τεχνικές λεπτομέρειες
μία εβδομάδα αφότου η JetBrains αντιμετώπισε το κρίσιμο ζήτημα ασφάλειας με την κυκλοφορία του
TeamCity 2023.05.4
στις 21 Σεπτεμβρίου.
Η JetBrains λέει ότι το ελάττωμα επηρεάζει όλες τις εκδόσεις TeamCity πριν από την ενημερωμένη έκδοση, αλλά μόνο τους διακομιστές On-Premises που είναι εγκατεστημένοι σε
Windows
,
Linux
και macOS ή που εκτελούνται στο Docker.
«Αυτό δίνει τη δυνατότητα στους εισβολείς όχι μόνο να κλέψουν τον πηγαίο κώδικα, αλλά και αποθηκευμένα μυστικά υπηρεσιών και ιδιωτικά κλειδιά», εξήγησε ο ερευνητής ευπάθειας του Sonar, Stefan Schiller.
“Και είναι ακόμα χειρότερο: Με την πρόσβαση στη διαδικασία κατασκευής, οι εισβολείς μπορούν να εισάγουν κακόβουλο κώδικα, θέτοντας σε κίνδυνο την ακεραιότητα των εκδόσεων λογισμικού και επηρεάζοντας όλους τους μεταγενέστερους χρήστες.”
Ερευνητές ασφάλειας στον μη κερδοσκοπικό οργανισμό ασφάλειας Διαδικτύου Shadowserver Foundation
βρέθηκαν 1240 μη επιδιορθωμένοι διακομιστές TeamCity
ευάλωτος σε επιθέσεις.
Ευάλωτοι διακομιστές TeamCity (Shadowserver Foundation)
Ορίζονται στόχοι σε ευάλωτους διακομιστές TeamCity
Λίγες μέρες μετά τη δημοσίευση της ανάρτησης του ιστολογίου του Sonar, πολλοί εισβολείς άρχισαν να εκμεταλλεύονται αυτό το κρίσιμο ελάττωμα παράκαμψης εξουσιοδότησης, σύμφωνα με τις εταιρείες πληροφοριών απειλών GreyNoise και PRODAFT.
Η PRODAFT είπε ότι πολλές λειτουργίες ransomware έχουν ήδη προσθέσει εκμεταλλεύσεις CVE-2023-42793 στο οπλοστάσιό τους και τις χρησιμοποιούν για να παραβιάσουν ευάλωτους διακομιστές TeamCity.
“Πολλές δημοφιλείς ομάδες ransomware άρχισαν να οπλίζουν το CVE-2023-42793 και πρόσθεσαν τη φάση εκμετάλλευσης στη ροή εργασίας τους.”
Η PRODAFT προειδοποίησε
τη διάρκεια του Σαββατοκύριακου.
“Η πλατφόρμα μας BLINDSPOT έχει εντοπίσει πολλούς οργανισμούς που έχουν ήδη εκμεταλλευτεί από παράγοντες απειλών τις τελευταίες τρεις ημέρες. Δυστυχώς, οι περισσότεροι από αυτούς θα έχουν τεράστιο πονοκέφαλο τις επόμενες εβδομάδες.”
Επιθέσεις που προέρχονται από
τουλάχιστον 56 διαφορετικές διευθύνσεις IP
είδαν το GreyNoise να στοχεύει ενεργά διακομιστές JetBrains TeamCity που εκτίθενται στο Διαδίκτυο σε συντονισμένες προσπάθειες διείσδυσης σε μη επιδιορθωμένες εγκαταστάσεις.
Δύο μέρες νωρίτερα, GreyNoise
προειδοποίησε
Όλοι οι οργανισμοί που απέτυχαν να επιδιορθώσουν τους διακομιστές τους πριν από τις 29 Σεπτεμβρίου, υπάρχει μεγάλη πιθανότητα τα συστήματά τους να έχουν ήδη παραβιαστεί.
Η JetBrains λέει ότι η πλατφόρμα αυτοματοποίησης δημιουργίας και δοκιμών λογισμικού TeamCity χρησιμοποιείται από προγραμματιστές σε περισσότερους από 30.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων των Citibank,
Ubisoft
, HP,
Nike
και Ferrari.
