Kuzey Kore Devlet Aktörleri TeamCity Sunucusunda Kritik Hataya Saldırdı - Dünyadan Güncel Teknoloji Haberleri

Kuzey Kore Devlet Aktörleri TeamCity Sunucusunda Kritik Hataya Saldırdı - Dünyadan Güncel Teknoloji Haberleri
Microsoft, “İki tehdit aktörü aynı güvenlik açığından yararlanırken Microsoft, Diamond Sleet ve Onyx Sleet’in başarılı bir şekilde yararlanmanın ardından benzersiz araç ve teknikler kullandığını gözlemledi” dedi

ForestTiger Arka Kapısı ve Diğer Yükler

Diamond Fleet’in kusuru hedef alan saldırılarında, tehdit aktörü, daha önce tehlikeye atmış gibi görünen meşru altyapıdan iki kötü amaçlı veriyi indirmek için PowerShell’i kullanıyor

Gibi güvenlik açıkları CVE-2023-42793 Uygulama güvenliği şirketi Endor Labs’ın güvenlik araştırmacısı Henrik Plate, CI/CD platformundaki saldırıların geniş kapsamlı sonuçlara yol açabilecek tedarik zinciri saldırılarına olanak sağladığını söylüyor



Microsoft’un Diamond Sleet ve Onyx Sleet olarak takip ettiği iki Kuzey Kore devlet destekli tehdit grubu, JetBrains TeamCity’nin şirket içi sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-42793’ü aktif olarak kullanıyor Bu güvenlik açığından yararlanmak için ne kimlik doğrulamaya ne de herhangi bir kullanıcı etkileşimine gerek vardır” diyor “En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir” diyor “Bu tür saldırılar, SolarWinds’in tehlikeye atılmış sürümlerinin çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla karşılaştırılabilir Etkiyi hisseden genellikle yalnızca etkilenen yazılımı kullanan kuruluş değil, aynı zamanda sistem üzerinde yerleşik yazılımı indirip çalıştırabilecek alt kullanıcılar da olur Yazılım satıcısı, güvenlik açığını, kimliği doğrulanmamış bir saldırının RCE saldırısı gerçekleştirmesine ve etkilenen, Internet’e açık bir TeamCity sunucusunda yönetici ayrıcalıkları kazanmasına olanak tanıdığını açıkladı Plate, “Ancak yapıları tekrarlanabilir hale getirmek ciddi bir çaba gerektirebilir ve olaydan önce uygulamaya konmuş olmalıdır” diyor

Microsoft ayrıca Diamond Sleet aktörlerinin PowerShell’den yararlanarak kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) indirdiğini de gözlemledi; bu teknik, tehdit aktörlerinin ele geçirilen sistemlerde yetkisiz kod yürütmek için sıklıkla kullandığı bir teknikti sunucu Schiller, “Güvenlik açığı bulunan bir örnek belirlendiğinde, istismar basittir 4) yayınladı ve kuruluşlara, tehdide maruz kalmayı azaltmak için bu sürüme yükseltme yapmalarını şiddetle tavsiye etti Onyx Filosu biraz daha dar bir odağa sahip ve çoğunlukla ABD, Güney Kore ve Hindistan’daki savunma ve BT hizmetleri kuruluşlarını hedef alıyor

Güvenlik açığının doğası gereği, kullanımı da oldukça güvenilirdir



siber-1

05 3 ve altı olup olmadığını belirleyerek belirlenebilir; bu, söz konusu sürümün savunmasız olduğu anlamına gelir

JetBrains, güvenlik açığının açıklandığı sırada TeamCity’nin sabit bir sürümünü (sürüm 2023

Bulmak ve Kullanmak Önemsiz

CVE-2023-42793’ü keşfedip JetBrains’e bildiren Sonar’daki güvenlik açığı araştırmacısı Stefan Schiller, bir tehdit aktörünün güvenlik açığını bulmasının ve kötüye kullanmasının çok kolay olduğunu söylüyor

JetBrains 30 Eylül’de CVE-2023-42793 açıklandı ve CVSS ölçeğinde 10 üzerinden 9,8’e yakın maksimum şiddet puanı atadı Şirket ayrıca, yeni sürüme hemen güncelleme yapamayan kuruluşların, RCE sorununu gidermek için mevcut TeamCity sürümlerine takabilecekleri bir güvenlik yaması da yayınladı 05 Kaynaklar gibi SLSA projesi ve NIST’ler Yazılım Tedarik Zinciri Güvenliğinin DevSecOps CI/CD İşlem Hattına Entegrasyonu Stratejileri Yazılım ekiplerinin CI/CD güvenliğini ele almak için atabileceği adımlara ilişkin eyleme dönüştürülebilir tavsiyeler sunuyoruz, Plaka notları Kaynak kodun hangi sürümünün girdi olarak kullanıldığı, çeşitli girdileri derlemek ve dönüştürmek için hangi araçların kullanıldığı ve bunların konfigürasyonlarının neler olduğu gibi soruları yanıtlayabilmeleri gerekir

Saldırılar, tehdit aktörlerinin, ilk erişim vektörü ve şirketlerden kaynak kodu ve sırların çalınması ve yazılım ve uygulamaların SolarWinds benzeri şekilde zehirlenme potansiyeline sahip olması için bir yol olarak yazılım geliştirme hatlarına artan ilgisinin en son göstergesidir Microsoft bir raporda şunları söyledi: Bu hafta ”

Tedarik Zinciri Risklerinin Ele Alınması

Plate, üst düzeyde, yazılım kuruluşlarının kaynak kodu ile tüketicilere dağıtılacak son yapı eseri arasında izlenebilir ve doğrulanabilir bir bağlantı kurmaya çalışması gerektiğini söylüyor Güvenlik açığı, TeamCity’nin tüm şirket içi sürümlerinde mevcuttur

Kritik Kimlik Doğrulamada Güvenlik Açığı Atlama

Önceki kampanyalara göre Diamond Sleet, küresel olarak özellikle BT hizmetleri, medya ve savunmayla ilgili sektörlerdeki kuruluşlara yönelik bir tehdit oluşturuyor Yüklerden biri, saldırganın güvenliği ihlal edilmiş sistemlerde zamanlanmış görevleri yürütmek ve ayrıca kimlik bilgilerini boşaltmak için kullandığı ForestTiger adlı bir arka kapıdır

Saldırganlar, siber casusluk, veri hırsızlığı, mali amaçlı saldırılar ve ağ sabotajı da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak için bu hatadan yararlanıyor Diğer kötü amaçlı yük, kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı ve diğer parametreler hakkında bilgiler içeren bir yapılandırma dosyasıdır TeamCity örneğinin sürümü, yalnızca giriş sayfasını ziyaret ederek ve söz konusu sürümün 2023 000 kuruluşun yazılım oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için kullandığı bir platformdur

Bu arada Microsoft, Onyx Sleet’in CVE-2023-42793’ü istismar ettikten sonraki taktiğinin, ele geçirilen sistemlerde meşru Kerberos Bilet Verme Bilet Hesabını taklit etmek üzere tasarlanmış görünen bir adla yeni bir kullanıcı hesabı oluşturmak olduğunu söyledi “Bu, kamuya açık tüm savunmasız örneklerin başarılı bir şekilde istismar edilmesini büyük olasılıkla mümkün kılıyor” diyor Saldırgan daha sonra hesabı Yerel Yöneticiler Grubuna ekliyor ve bunu, daha sonra belleğe yüklenip başlatılan gömülü bir Taşınabilir Yürütülebilir (PE) kaynağı indirip şifresini çözmek için kullanıyor Microsoft, “İç veri, güvenliği ihlal edilmiş ana bilgisayar ile saldırgan tarafından kontrol edilen altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan bir proxy aracıdır” dedi

Ayrıca aşağıdaki gibi uygulamaların hayata geçirilmesi Tekrarlanabilir yapılar Aynı girdiler ve ortam kullanıldığı sürece bitleri aynı olan yazılım yapıları ürettikleri için uzlaşma sonrası durumlarda yardımcı olabilirler TeamCity, aralarında Citibank, Nike ve Ferrari gibi birçok büyük markanın da bulunduğu yaklaşık 30