Microsoft’un Diamond Sleet ve Onyx Sleet olarak takip ettiği iki Kuzey Kore devlet destekli tehdit grubu, JetBrains TeamCity’nin şirket içi sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-42793’ü aktif olarak kullanıyor 000 kuruluşun yazılım oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için kullandığı bir platformdur Yazılım satıcısı, güvenlik açığını, kimliği doğrulanmamış bir saldırının RCE saldırısı gerçekleştirmesine ve etkilenen, Internet’e açık bir TeamCity sunucusunda yönetici ayrıcalıkları kazanmasına olanak tanıdığını açıkladı
Bulmak ve Kullanmak ÖnemsizCVE-2023-42793’ü keşfedip JetBrains’e bildiren Sonar’daki güvenlik açığı araştırmacısı Stefan Schiller, bir tehdit aktörünün güvenlik açığını bulmasının ve kötüye kullanmasının çok kolay olduğunu söylüyor
Güvenlik açığının doğası gereği, kullanımı da oldukça güvenilirdir Diğer kötü amaçlı yük, kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı ve diğer parametreler hakkında bilgiler içeren bir yapılandırma dosyasıdır “Bu tür saldırılar, SolarWinds’in tehlikeye atılmış sürümlerinin çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla karşılaştırılabilir
Microsoft ayrıca Diamond Sleet aktörlerinin PowerShell’den yararlanarak kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) indirdiğini de gözlemledi; bu teknik, tehdit aktörlerinin ele geçirilen sistemlerde yetkisiz kod yürütmek için sıklıkla kullandığı bir teknikti Onyx Filosu biraz daha dar bir odağa sahip ve çoğunlukla ABD, Güney Kore ve Hindistan’daki savunma ve BT hizmetleri kuruluşlarını hedef alıyor “En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir” diyor 05
JetBrains, güvenlik açığının açıklandığı sırada TeamCity’nin sabit bir sürümünü (sürüm 2023
Bu arada Microsoft, Onyx Sleet’in CVE-2023-42793’ü istismar ettikten sonraki taktiğinin, ele geçirilen sistemlerde meşru Kerberos Bilet Verme Bilet Hesabını taklit etmek üzere tasarlanmış görünen bir adla yeni bir kullanıcı hesabı oluşturmak olduğunu söyledi
Kritik Kimlik Doğrulamada Güvenlik Açığı AtlamaÖnceki kampanyalara göre Diamond Sleet, küresel olarak özellikle BT hizmetleri, medya ve savunmayla ilgili sektörlerdeki kuruluşlara yönelik bir tehdit oluşturuyor
siber-1
Saldırılar, tehdit aktörlerinin, ilk erişim vektörü ve şirketlerden kaynak kodu ve sırların çalınması ve yazılım ve uygulamaların SolarWinds benzeri şekilde zehirlenme potansiyeline sahip olması için bir yol olarak yazılım geliştirme hatlarına artan ilgisinin en son göstergesidir 4) yayınladı ve kuruluşlara, tehdide maruz kalmayı azaltmak için bu sürüme yükseltme yapmalarını şiddetle tavsiye etti Kaynak kodun hangi sürümünün girdi olarak kullanıldığı, çeşitli girdileri derlemek ve dönüştürmek için hangi araçların kullanıldığı ve bunların konfigürasyonlarının neler olduğu gibi soruları yanıtlayabilmeleri gerekir Microsoft, “İki tehdit aktörü aynı güvenlik açığından yararlanırken Microsoft, Diamond Sleet ve Onyx Sleet’in başarılı bir şekilde yararlanmanın ardından benzersiz araç ve teknikler kullandığını gözlemledi” dedi 3 ve altı olup olmadığını belirleyerek belirlenebilir; bu, söz konusu sürümün savunmasız olduğu anlamına gelir ”
Tedarik Zinciri Risklerinin Ele AlınmasıPlate, üst düzeyde, yazılım kuruluşlarının kaynak kodu ile tüketicilere dağıtılacak son yapı eseri arasında izlenebilir ve doğrulanabilir bir bağlantı kurmaya çalışması gerektiğini söylüyor
Saldırganlar, siber casusluk, veri hırsızlığı, mali amaçlı saldırılar ve ağ sabotajı da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak için bu hatadan yararlanıyor Schiller, “Güvenlik açığı bulunan bir örnek belirlendiğinde, istismar basittir
JetBrains 30 Eylül’de CVE-2023-42793 açıklandı ve CVSS ölçeğinde 10 üzerinden 9,8’e yakın maksimum şiddet puanı atadı
ForestTiger Arka Kapısı ve Diğer YüklerDiamond Fleet’in kusuru hedef alan saldırılarında, tehdit aktörü, daha önce tehlikeye atmış gibi görünen meşru altyapıdan iki kötü amaçlı veriyi indirmek için PowerShell’i kullanıyor Etkiyi hisseden genellikle yalnızca etkilenen yazılımı kullanan kuruluş değil, aynı zamanda sistem üzerinde yerleşik yazılımı indirip çalıştırabilecek alt kullanıcılar da olur Şirket ayrıca, yeni sürüme hemen güncelleme yapamayan kuruluşların, RCE sorununu gidermek için mevcut TeamCity sürümlerine takabilecekleri bir güvenlik yaması da yayınladı Kaynaklar gibi SLSA projesi ve NIST’ler Yazılım Tedarik Zinciri Güvenliğinin DevSecOps CI/CD İşlem Hattına Entegrasyonu Stratejileri Yazılım ekiplerinin CI/CD güvenliğini ele almak için atabileceği adımlara ilişkin eyleme dönüştürülebilir tavsiyeler sunuyoruz, Plaka notları “Bu, kamuya açık tüm savunmasız örneklerin başarılı bir şekilde istismar edilmesini büyük olasılıkla mümkün kılıyor” diyor
Gibi güvenlik açıkları CVE-2023-42793 Uygulama güvenliği şirketi Endor Labs’ın güvenlik araştırmacısı Henrik Plate, CI/CD platformundaki saldırıların geniş kapsamlı sonuçlara yol açabilecek tedarik zinciri saldırılarına olanak sağladığını söylüyor
Ayrıca aşağıdaki gibi uygulamaların hayata geçirilmesi Tekrarlanabilir yapılar Aynı girdiler ve ortam kullanıldığı sürece bitleri aynı olan yazılım yapıları ürettikleri için uzlaşma sonrası durumlarda yardımcı olabilirler TeamCity örneğinin sürümü, yalnızca giriş sayfasını ziyaret ederek ve söz konusu sürümün 2023 Yüklerden biri, saldırganın güvenliği ihlal edilmiş sistemlerde zamanlanmış görevleri yürütmek ve ayrıca kimlik bilgilerini boşaltmak için kullandığı ForestTiger adlı bir arka kapıdır sunucu Microsoft bir raporda şunları söyledi: Bu hafta 05