CVE-2023-42793’ü keşfedip JetBrains’e bildiren Sonar’daki güvenlik açığı araştırmacısı Stefan Schiller, bir tehdit aktörünün güvenlik açığını bulmasının ve kötüye kullanmasının çok kolay olduğunu söylüyor 05
siber-1
Diamond Fleet’in kusuru hedef alan saldırılarında, tehdit aktörü, daha önce tehlikeye atmış gibi görünen meşru altyapıdan iki kötü amaçlı veriyi indirmek için PowerShell’i kullanıyor “Bu tür saldırılar, SolarWinds’in tehlikeye atılmış sürümlerinin çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla karşılaştırılabilir
Ayrıca aşağıdaki gibi uygulamaların hayata geçirilmesi Tekrarlanabilir yapılar Aynı girdiler ve ortam kullanıldığı sürece bitleri aynı olan yazılım yapıları ürettikleri için uzlaşma sonrası durumlarda yardımcı olabilirler 3 ve altı olup olmadığını belirleyerek belirlenebilir; bu, söz konusu sürümün savunmasız olduğu anlamına gelir
Güvenlik açığının doğası gereği, kullanımı da oldukça güvenilirdir
Bu arada Microsoft, Onyx Sleet’in CVE-2023-42793’ü istismar ettikten sonraki taktiğinin, ele geçirilen sistemlerde meşru Kerberos Bilet Verme Bilet Hesabını taklit etmek üzere tasarlanmış görünen bir adla yeni bir kullanıcı hesabı oluşturmak olduğunu söyledi Yüklerden biri, saldırganın güvenliği ihlal edilmiş sistemlerde zamanlanmış görevleri yürütmek ve ayrıca kimlik bilgilerini boşaltmak için kullandığı ForestTiger adlı bir arka kapıdır
Gibi güvenlik açıkları CVE-2023-42793 Uygulama güvenliği şirketi Endor Labs’ın güvenlik araştırmacısı Henrik Plate, CI/CD platformundaki saldırıların geniş kapsamlı sonuçlara yol açabilecek tedarik zinciri saldırılarına olanak sağladığını söylüyor ”
Tedarik Zinciri Risklerinin Ele AlınmasıPlate, üst düzeyde, yazılım kuruluşlarının kaynak kodu ile tüketicilere dağıtılacak son yapı eseri arasında izlenebilir ve doğrulanabilir bir bağlantı kurmaya çalışması gerektiğini söylüyor Yazılım satıcısı, güvenlik açığını, kimliği doğrulanmamış bir saldırının RCE saldırısı gerçekleştirmesine ve etkilenen, Internet’e açık bir TeamCity sunucusunda yönetici ayrıcalıkları kazanmasına olanak tanıdığını açıkladı
Kritik Kimlik Doğrulamada Güvenlik Açığı AtlamaÖnceki kampanyalara göre Diamond Sleet, küresel olarak özellikle BT hizmetleri, medya ve savunmayla ilgili sektörlerdeki kuruluşlara yönelik bir tehdit oluşturuyor Bu güvenlik açığından yararlanmak için ne kimlik doğrulamaya ne de herhangi bir kullanıcı etkileşimine gerek vardır” diyor TeamCity örneğinin sürümü, yalnızca giriş sayfasını ziyaret ederek ve söz konusu sürümün 2023 Diğer kötü amaçlı yük, kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı ve diğer parametreler hakkında bilgiler içeren bir yapılandırma dosyasıdır Etkiyi hisseden genellikle yalnızca etkilenen yazılımı kullanan kuruluş değil, aynı zamanda sistem üzerinde yerleşik yazılımı indirip çalıştırabilecek alt kullanıcılar da olur “En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir” diyor 05 TeamCity, aralarında Citibank, Nike ve Ferrari gibi birçok büyük markanın da bulunduğu yaklaşık 30 Kaynaklar gibi SLSA projesi ve NIST’ler Yazılım Tedarik Zinciri Güvenliğinin DevSecOps CI/CD İşlem Hattına Entegrasyonu Stratejileri Yazılım ekiplerinin CI/CD güvenliğini ele almak için atabileceği adımlara ilişkin eyleme dönüştürülebilir tavsiyeler sunuyoruz, Plaka notları Microsoft bir raporda şunları söyledi: Bu hafta Şirket ayrıca, yeni sürüme hemen güncelleme yapamayan kuruluşların, RCE sorununu gidermek için mevcut TeamCity sürümlerine takabilecekleri bir güvenlik yaması da yayınladı
Saldırılar, tehdit aktörlerinin, ilk erişim vektörü ve şirketlerden kaynak kodu ve sırların çalınması ve yazılım ve uygulamaların SolarWinds benzeri şekilde zehirlenme potansiyeline sahip olması için bir yol olarak yazılım geliştirme hatlarına artan ilgisinin en son göstergesidir
Microsoft ayrıca Diamond Sleet aktörlerinin PowerShell’den yararlanarak kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) indirdiğini de gözlemledi; bu teknik, tehdit aktörlerinin ele geçirilen sistemlerde yetkisiz kod yürütmek için sıklıkla kullandığı bir teknikti Kaynak kodun hangi sürümünün girdi olarak kullanıldığı, çeşitli girdileri derlemek ve dönüştürmek için hangi araçların kullanıldığı ve bunların konfigürasyonlarının neler olduğu gibi soruları yanıtlayabilmeleri gerekir
Microsoft’un Diamond Sleet ve Onyx Sleet olarak takip ettiği iki Kuzey Kore devlet destekli tehdit grubu, JetBrains TeamCity’nin şirket içi sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-42793’ü aktif olarak kullanıyor
Saldırganlar, siber casusluk, veri hırsızlığı, mali amaçlı saldırılar ve ağ sabotajı da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak için bu hatadan yararlanıyor
JetBrains, güvenlik açığının açıklandığı sırada TeamCity’nin sabit bir sürümünü (sürüm 2023
JetBrains 30 Eylül’de CVE-2023-42793 açıklandı ve CVSS ölçeğinde 10 üzerinden 9,8’e yakın maksimum şiddet puanı atadı 000 kuruluşun yazılım oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için kullandığı bir platformdur Plate, “Ancak yapıları tekrarlanabilir hale getirmek ciddi bir çaba gerektirebilir ve olaydan önce uygulamaya konmuş olmalıdır” diyor Güvenlik açığı, TeamCity’nin tüm şirket içi sürümlerinde mevcuttur Microsoft, “İki tehdit aktörü aynı güvenlik açığından yararlanırken Microsoft, Diamond Sleet ve Onyx Sleet’in başarılı bir şekilde yararlanmanın ardından benzersiz araç ve teknikler kullandığını gözlemledi” dedi Onyx Filosu biraz daha dar bir odağa sahip ve çoğunlukla ABD, Güney Kore ve Hindistan’daki savunma ve BT hizmetleri kuruluşlarını hedef alıyor Saldırgan daha sonra hesabı Yerel Yöneticiler Grubuna ekliyor ve bunu, daha sonra belleğe yüklenip başlatılan gömülü bir Taşınabilir Yürütülebilir (PE) kaynağı indirip şifresini çözmek için kullanıyor