Microsoft araştırmacıları Kuzey Kore devlet bağlantılı iki tehdit aktörü hakkında uyarı Yaygın olarak kullanılan bir yazılım geliştirme platformu olan JetBrains TeamCity’deki kritik bir güvenlik açığının kötüye kullanılması.
CVE-2023-42793 olarak listelenen kritik güvenlik açığı, TeamCity’nin şirket içi sürümünde uzaktan kod yürütülmesine olanak tanıyor ve ilk olarak Sonar tarafından keşfedildi Eylül başında.
Müşteriler şu sürüme yükseltme yapmalıdır: TeamCity sunucusunun yamalı versiyonu veya güvenlik eklentisini uygulayın. Sunucu internet üzerinden herkesin erişimine açıksa ve müşteriler hemen yükseltme yapamıyorsa müşterilerin bağlantısını geçici olarak kesmeleri gerekir.
Yama uygulayan müşterilerin hâlâ ek saldırılara karşı savunmasız olup olmadığı veya bu saldırıların hafifletme adımlarından önce ele geçirilip geçirilmediği henüz belli değil. Microsoft, gözlemlenen Kuzey Kore bağlantılı saldırıların bu ayın başlarında başladığını söyledi.
Microsoft’un kendi adlandırma sınıflandırmasına göre Diamond Sleet ve Onyx Sleet olarak tanımladığı bilgisayar korsanları bu güvenlik açığından yararlanıyor. Teknoloji firması, tehdit aktörlerinin savunmasız sunucuları tehlikeye atmaya çalışıyor olabileceğini ve hedeflenen ortamlara kalıcı erişim sağlamak için diğer araçların yanı sıra kötü amaçlı yazılım da kullanmış olabileceğini söyledi.
JetBrains yetkilileri, müşteriler yükseltmeleri veya güvenlik yamalarını uyguladıktan sonra bile “herhangi bir arka kapının varlığını sürdüreceği ve tespit edilemeyeceği” konusunda uyardı. güncellenmiş bir blog yazısı.
“Önceki birkaç hafta içinde destek ekibimize ulaşan ve CVE-2023-42793 güvenlik açığı nedeniyle ortamlarının tehlikeye girmiş olabileceği endişelerini dile getiren az sayıda TeamCity şirket içi müşterisinin farkındayız.” Daniel Gallo, TeamCity çözüm mühendisiCybersecurity Dive’a e-posta yoluyla söyledi.
Gallo, JetBrains’in müşterilerinin Microsoft’un tanımladığı şekilde ele geçirilip geçirilmediğinin farkında olmadığı konusunda uyardı.
Gallo, TeamCity On-Premises’in müşteriler tarafından bakımı yapılan ortamlarda kurulduğundan dolayı şirketin bu ortamların nasıl yapılandırıldığına dair görünürlüğe sahip olmadığını söyledi.
Uygulamanın SaaS sürümü olan TeamCity Cloud, bu güvenlik açığından etkilenmedi.
Microsoft bloguna göre Diamond Sleet, müşteri ortamlarına erişim sağladıktan sonra ForestTiger adında bir arka kapı kurdu. Diamond Sleet ayrıca dinamik bağlantı kitaplığı arama sırası ele geçirme saldırılarında kullanılmak üzere kötü amaçlı yükleri de dağıtır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, daha önce kimlik doğrulama atlama güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklemişti.
Microsoft öncelikle Windows tabanlı ortam tehlikeleri konusunda uyarıda bulunsa da Linux tabanlı ortamlar da tehdit altında olabilir.