Новости Обновите сервер TeamCity: хакеры готовятся к атаке на цепочку поставок ПО с помощью CVE-2023-42793

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Подготовительный этап откроет путь для массовых шпионских кампаний и кражи данных.


2dw8qwii0gs3ayqzrtnnsixmxc50ij5m.jpg


Агентство CISA предупреждает, что хакерская группа APT29 с сентября 2023 года Для просмотра ссылки Войди или Зарегистрируйся на неисправленные серверы TeamCity . В ходе атак эксплуатируется уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8) в TeamCity, позволяющая неаутентифицированному злоумышленнику достигнуть удаленного выполнения кода (Remote Code Execution, RCE ) без взаимодействия с пользователем.

CISA заявляет, что получение доступа к TeamCity позволяет киберпреступнику повышать свои привилегии, перемещаться по сетям, устанавливать дополнительные бэкдоры и обеспечивать долгосрочный доступ к скомпрометированным сетям, в частности, к сетям разработчиков программного обеспечения

Отмечается, что APT29 еще не использовала возможность компрометации разработчиков ПО для доступа к сетям клиентов и, вероятно, все еще находится на подготовительной стадии своей работы. Доступ к сетям компаний дает группе возможности реализовать трудно обнаруживаемую инфраструктуру управления и контроля (Command and Control, С2).

Швейцарская ИБ-компания Sonar , которая обнаружила и сообщила о данной уязвимости, опубликовала Для просмотра ссылки Войди или Зарегистрируйся о недостатке спустя неделю после того, как JetBrains 21 сентября выпустила версию Для просмотра ссылки Войди или Зарегистрируйся , устраняющую проблему. По Для просмотра ссылки Войди или Зарегистрируйся Shadowserver Foundation, свыше 730 серверов TeamCity до сих пор уязвимы для атак.

JetBrains подтвердила, что уязвимость Для просмотра ссылки Войди или Зарегистрируйся все версии TeamCity до последнего исправленного выпуска 2023.05.4, однако под угрозой только локальные серверы, установленные на Windows, Linux и macOS, а также работающие в Docker.

Через несколько дней после публикации отчёта Sonar компании GreyNoise и PRODAFT Для просмотра ссылки Войди или Зарегистрируйся о том, что вымогатели начали эксплуатировать уязвимость для взлома корпоративных сетей. Также Microsoft заявляла, что северокорейские группировки Lazarus и Andariel Для просмотра ссылки Войди или Зарегистрируйся для развертывания вредоносного ПО с целью компрометации цепочки поставок программного обеспечения.

По информации JetBrains, их программное обеспечение TeamCity используется более чем в 30 000 организаций по всему миру. По словам компании, более 98% всех серверов TeamCity уже обновлены. В JetBrains также добавили, что фирма предприняла дополнительные меры по информированию клиентов о необходимости обновления ПО и применении лучших практик безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы