Η CISA και οι συνεργαζόμενες
υπηρεσίες
κυβερνοασφάλεια
ς και υπηρεσίες πληροφοριών προειδοποίησαν ότι η ομάδα hacking
APT29
που συνδέεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR) στοχεύει μη επιδιορθωμένους διακομιστές TeamCity σε εκτεταμένες επιθέσεις από τον Σεπτέμβριο του 2023.
Το APT29 είναι γνωστό για την παραβίαση αρκετών ομοσπονδιακών υπηρεσιών των ΗΠΑ μετά την επίθεση στην αλυσίδα εφοδιασμού της
SolarWinds
που ενορχήστρωσαν πριν από τρία χρόνια.
Στοχεύτηκαν επίσης στους λογαριασμούς Microsoft 365 πολλών οντοτήτων εντός των χωρών του ΝΑΤΟ ως μέρος των προσπαθειών τους να έχουν πρόσβαση σε πληροφορίες που σχετίζονται με την εξωτερική πολιτική και συνδέθηκαν με μια σειρά εκστρατειών phishing που στόχευαν σε κυβερνήσεις, πρεσβείες και υψηλόβαθμους αξιωματούχους σε όλη την Ευρώπη.
Το ελάττωμα ασφαλείας της TeamCity που εκμεταλλεύονται σε αυτές τις επιθέσεις προσδιορίζεται ως
CVE-2023-42793
και βαθμολογήθηκε με κρίσιμη βαθμολογία σοβαρότητας 9,8/10, την οποία μπορούν να εκμεταλλευτούν οι μη επαληθευμένοι παράγοντες απειλών σε επιθέσεις χαμηλής πολυπλοκότητας απομακρυσμένης εκτέλεσης κώδικα (RCE) που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Επιλέγοντας να εκμεταλλευτούν το CVE-2023-42793, ένα πρόγραμμα ανάπτυξης λογισμικού, οι εταιρείες συγγραφής εκτιμούν ότι το SVR θα μπορούσε να επωφεληθεί από την πρόσβαση στα θύματα, ιδίως επιτρέποντας στους παράγοντες της απειλής να θέσουν σε κίνδυνο τα δίκτυα δεκάδων προγραμματιστών λογισμικού.”
Η CISA προειδοποίησε σήμερα
.
«Το SVR έχει, ωστόσο, παρατηρηθεί χρησιμοποιώντας την αρχική πρόσβαση που προέκυψε από την εκμετάλλευση του TeamCity CVE για να κλιμακώσει τα προνόμιά του, να μετακινηθεί πλευρικά, να αναπτύξει πρόσθετες κερκόπορτες και να λάβει άλλα μέτρα για να εξασφαλίσει μόνιμη και μακροπρόθεσμη πρόσβαση στα παραβιασμένα περιβάλλοντα δικτύου.
«Ενώ οι φορείς σύνταξης εκτιμούν ότι το SVR δεν έχει χρησιμοποιήσει ακόμη τις προσβάσεις του σε
προγραμματιστές
λογισμικού για πρόσβαση σε δίκτυα πελατών και είναι πιθανόν ακόμη στην προπαρασκευαστική φάση της λειτουργίας του, η πρόσβαση στα δίκτυα αυτών των εταιρειών προσφέρει στο SVR ευκαιρίες να επιτρέψει – ανίχνευση υποδομής διοίκησης και ελέγχου (C2).
Σχεδόν 800 διακομιστές εξακολουθούν να είναι ευάλωτοι σε επιθέσεις
Ερευνητές από την ελβετική εταιρεία ασφαλείας Sonar, που ανακάλυψαν και ανέφεραν το ελάττωμα, δημοσίευσαν επίσης
τεχνικές λεπτομέρειες
μια εβδομάδα μετά την κυκλοφορία του JetBrains
TeamCity 2023.05.4
στις 21 Σεπτεμβρίου για την αντιμετώπιση του κρίσιμου ζητήματος.
«Αυτό δίνει τη δυνατότητα στους εισβολείς όχι μόνο να κλέψουν τον πηγαίο κώδικα, αλλά και τα αποθηκευμένα μυστικά υπηρεσιών και τα ιδιωτικά κλειδιά», εξήγησε ο Sonar.
“Και είναι ακόμα χειρότερο: Με την πρόσβαση στη διαδικασία κατασκευής, οι εισβολείς μπορούν να εισάγουν κακόβουλο κώδικα, θέτοντας σε κίνδυνο την ακεραιότητα των εκδόσεων λογισμικού και επηρεάζοντας όλους τους μεταγενέστερους χρήστες.”
Οι ερευνητές ασφαλείας στο μη κερδοσκοπικό ίδρυμα ασφάλειας Διαδικτύου Shadowserver Foundation παρακολουθούν
σχεδόν 800 μη επιδιορθωμένοι διακομιστές TeamCity
που είναι ευάλωτα σε επιθέσεις.
Ευάλωτοι διακομιστές TeamCity (Shadowserver Foundation)
Επίσης γίνεται αντικείμενο εκμετάλλευσης από συμμορίες ransomware και βορειοκορεάτες χάκερ
Στις αρχές Οκτωβρίου, αρκετές συμμορίες ransomware εκμεταλλεύονταν ήδη την ευπάθεια για να παραβιάσουν τα εταιρικά δίκτυα, σύμφωνα με τις εταιρείες πληροφοριών απειλών GreyNoise και PRODAFT.
Το GreyNoise εντόπισε επιθέσεις από
56 διαφορετικές διευθύνσεις IP
ως μέρος συντονισμένων προσπαθειών με στόχο την παραβίαση των διακομιστών TeamCity που δεν έχουν επιδιορθωθεί.
Δύο ημέρες νωρίτερα, η εταιρεία προειδοποίησε επίσης ότι υπάρχει μεγάλη πιθανότητα οι οργανισμοί που αμέλησαν να ασφαλίσουν τους διακομιστές τους πριν από τις 29 Σεπτεμβρίου έχουν ήδη παραβιαστεί.
Η Microsoft είπε αργότερα ότι οι ομάδες χάκερ Lazarus και Andariel της Βόρειας Κορέας, που υποστηρίζονται από το κράτος, παρέκκλιζαν τα δίκτυα των θυμάτων χρησιμοποιώντας εκμεταλλεύσεις CVE-2023-42793, πιθανότατα ως προετοιμασία για επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού.
Η JetBrains λέει ότι οι προγραμματιστές χρησιμοποιούν την πλατφόρμα δημιουργίας και δοκιμών λογισμικού TeamCity σε περισσότερους από 30.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων εκείνων υψηλού προφίλ όπως η Citibank, η Ubisoft, η HP, η Nike και η Ferrari.
VIA:
bleepingcomputer.com