APT29 是 2020 年 SolarWinds 黑客事件背后的高级持续威胁,它正在积极利用 JetBrains TeamCity 中的一个关键安全漏洞,该漏洞可能为猖獗的软件供应链攻击打开大门。
这是 CISA、FBI、NSA 和众多国际合作伙伴的说法,他们在今天的联合警报中表示,APT29(又名 CozyBear、Dukes、Midnight Blizzard 或 Nobelium) 正在“大规模”攻击托管 TeamCity 软件的服务器。使用未经身份验证的远程代码执行 (RCE) 错误。据联邦政府称,该问题的利用被追踪为 CVE-2023-42793(CVSS 评分为 9.8),在 JetBrains 修补了该问题后于 9 月份开始利用Rapid7 发布了针对该缺陷的公开概念验证 (PoC) 漏洞;但现在,它已成为一种令人担忧的全球现象,可能会造成广泛的损害。
受影响的平台是一个软件开发生命周期 (SDLC) 管理工具,其中包含从源代码到签名证书的所有内容。成功的入侵可以让网络攻击者访问这些有价值的数据,但也可以提供一种改变软件编译和部署过程的方法 – 增加另一波SolarWinds型攻击浪潮 可能即将到来。
“[漏洞利用]可能允许部署恶意更新,在最简单的情况下,该更新可能会执行对手工具,从而导致能够访问设备或整个网络,”根据周三针对 TeamCity 攻击的联合警报。 “在更复杂的情况下,对构建管道的访问可能会损害已编译的源代码,并对软件进行几乎无法检测的修改,例如对加密协议进行微小的更改,从而可以解密受保护的数据。”
持久的 TeamCity 后门可经受修补
在 SolarWinds 事件中,APT29 能够隐藏合法的 SolarWinds 软件更新,自动登陆大量受害者网络。该组织从 18,000 个受感染对象中精心挑选了第二波入侵目标,成功渗透了多家美国政府机构和科技公司,包括微软和(现为 Trellix 的一部分)。
目前,TeamCity 的攻击还没有达到那么严重的程度。“已观察到它利用利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门,并采取行动”。确保持久和长期访问受损网络环境的其他步骤,”根据警报。
事实上,仅靠修补并不能减轻危险。正如 JetBrains 在其最初的错误报告中指出的那样,“在随后应用 TeamCity 升级或安全补丁插件后,任何后门都可能持续存在且未被检测到,从而使环境面临进一步利用的风险。”
根据 Shadowserver 的数据,乍一看,全球至少有 800 个未修补的 TeamCity 软件实例暴露在互联网上;目前尚不清楚有多少实例已被修补,但可能仍然受到损害。当然,这个数字并没有考虑到那些事先可以访问公司网络的老练对手可以访问的未暴露实例。
大量 APT 通过 CVE-2023-42793 攻击开发人员
APT29 并不是唯一一个注意到易受攻击的 TeamCity。 10 月,微软威胁情报中心披露了多个 APT,其中包括 Lazarus Group(又名 Diamond Sleet、Hidden Cobra 或 Zinc)及其分支 Andariel(又名 Onyx Sleet 或 Plutium),它们使用了TeamCity 安装持久后门的漏洞。
网络安全公司 Fortinet 的研究人员 — 该公司于周三发布了对美国一家生物医学制造公司现实世界事件机制的深入研究,以及妥协指标 (IoC) 和缓解指南 — 指出“观察到的利用源自多个不同的威胁行为者,他们采用了多种不同的后利用技术,试图在受害者网络中获得立足点。”
如何防范 JetBrains TeamCity 网络攻击
为了应对 TeamCity 错误带来的危险,即“对经济、民间组织或公共安全造成巨大损害”,根据联合警报,组织应首先修补任何易受攻击的实例(至版本 2023.05.4)。 Fortinet 和微软表示,从那时起,基于 IoC 进行主动威胁搜寻,以发现和删除持久后门应该是首要任务,这两家公司都在这方面提供了详尽的指导。应检查 TeamCity 服务器和构建代理是否存在问题迹象。
JetBrains 在其 CVE-2023-42793 安全公告中建议,在团队进行修补和妥协调查时,将任何可公开访问的服务器从互联网上删除。
该公司还警告说,虽然研究人员观察到基于 Windows 的 TeamCity 环境被积极利用,但“这并不排除基于 Linux 的 TeamCity 环境也被以类似的方式利用。”
发表评论
您还未登录,请先登录。
登录