Microsoft’un Diamond Sleet ve Onyx Sleet olarak takip ettiği iki Kuzey Kore devlet destekli tehdit grubu, JetBrains TeamCity’nin şirket içi sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-42793’ü aktif olarak kullanıyor. sunucu.
Microsoft’un bu haftaki bir raporunda, saldırganların siber casusluk, veri hırsızlığı, finansal amaçlı saldırılar ve ağ sabotajı da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak için bu hatadan yararlandığı belirtildi. TeamCity, aralarında Citibank, Nike ve Ferrari gibi birçok büyük markanın da bulunduğu yaklaşık 30.000 kuruluşun yazılım oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için kullandığı bir platformdur.
Kritik Kimlik Doğrulamada Güvenlik Açığı Atlama
Önceki kampanyalara göre Diamond Sleet, küresel olarak özellikle BT hizmetleri, medya ve savunmayla ilgili sektörlerdeki kuruluşlara yönelik bir tehdit oluşturuyor. Onyx Filosu biraz daha dar bir odağa sahip ve çoğunlukla ABD, Güney Kore ve Hindistan’daki savunma ve BT hizmetleri kuruluşlarını hedef alıyor. Microsoft, “İki tehdit aktörü aynı güvenlik açığından yararlanırken Microsoft, Diamond Sleet ve Onyx Sleet’in başarılı bir şekilde yararlanmanın ardından benzersiz araç ve teknikler kullandığını gözlemledi” dedi.
JetBrains, 30 Eylül’de CVE-2023-42793’ü açıkladı ve CVSS ölçeğinde ona 10 üzerinden 9,8’lik maksimuma yakın şiddet puanı verdi. Yazılım satıcısı, güvenlik açığını, kimliği doğrulanmamış bir saldırının RCE saldırısı gerçekleştirmesine ve etkilenen, Internet’e açık bir TeamCity sunucusunda yönetici ayrıcalıkları kazanmasına olanak tanıdığını açıkladı. Güvenlik açığı, TeamCity’nin tüm şirket içi sürümlerinde mevcuttur.
ForestTiger Arka Kapısı ve Diğer Yükler
Diamond Fleet’in kusuru hedef alan saldırılarında, tehdit aktörü, daha önce tehlikeye atmış gibi görünen meşru altyapıdan iki kötü amaçlı veriyi indirmek için PowerShell’i kullanıyor. Yüklerden biri, saldırganın güvenliği ihlal edilmiş sistemlerde zamanlanmış görevleri yürütmek ve ayrıca kimlik bilgilerini boşaltmak için kullandığı ForestTiger adlı bir arka kapıdır. Diğer kötü amaçlı yük, kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı ve diğer parametreler hakkında bilgiler içeren bir yapılandırma dosyasıdır.
Microsoft ayrıca Diamond Sleet aktörlerinin PowerShell’den yararlanarak kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) indirdiğini de gözlemledi; bu teknik, tehdit aktörlerinin ele geçirilen sistemlerde yetkisiz kod yürütmek için sıklıkla kullandığı bir teknikti.
Bu arada Microsoft, Onyx Sleet’in CVE-2023-42793’ü istismar ettikten sonraki taktiğinin, ele geçirilen sistemlerde meşru Kerberos Bilet Verme Bilet Hesabını taklit etmek üzere tasarlanmış görünen bir adla yeni bir kullanıcı hesabı oluşturmak olduğunu söyledi. Saldırgan daha sonra hesabı Yerel Yöneticiler Grubuna ekliyor ve bunu, daha sonra belleğe yüklenip başlatılan gömülü bir Taşınabilir Yürütülebilir (PE) kaynağı indirip şifresini çözmek için kullanıyor. Microsoft, “İç veri, güvenliği ihlal edilmiş ana bilgisayar ile saldırgan tarafından kontrol edilen altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan bir proxy aracıdır” dedi.
Bulmak ve Kullanmak Önemsiz
CVE-2023-42793’ü keşfedip JetBrains’e bildiren Sonar’daki güvenlik açığı araştırmacısı Stefan Schiller, bir tehdit aktörünün güvenlik açığını bulmasının ve kötüye kullanmasının çok kolay olduğunu söylüyor. TeamCity örneğinin sürümü, yalnızca giriş sayfasını ziyaret ederek ve söz konusu sürümün 2023.05.3 ve altı olup olmadığını belirleyerek belirlenebilir; bu, söz konusu sürümün savunmasız olduğu anlamına gelir. Schiller, “Güvenlik açığı bulunan bir örnek belirlendiğinde, istismar basittir. Bu güvenlik açığından yararlanmak için ne kimlik doğrulamaya ne de herhangi bir kullanıcı etkileşimine gerek vardır” diyor.
Güvenlik açığının doğası gereği, kullanımı da oldukça güvenilirdir. “Bu, kamuya açık tüm savunmasız örneklerin başarılı bir şekilde istismar edilmesini büyük olasılıkla mümkün kılıyor” diyor.
Saldırılar, tehdit aktörlerinin, ilk erişim vektörü ve şirketlerden kaynak kodu ve sırların çalınması ve yazılım ve uygulamaların SolarWinds benzeri şekilde zehirlenme potansiyeline sahip olması için bir yol olarak yazılım geliştirme hatlarına artan ilgisinin en son göstergesidir.
Uygulama güvenliği şirketi Endor Labs’ta güvenlik araştırmacısı olan Henrik Plate, CI/CD platformundaki CVE-2023-42793 gibi güvenlik açıklarının geniş kapsamlı sonuçlara yol açabilecek tedarik zinciri saldırılarına olanak sağladığını söylüyor. Etkiyi hisseden genellikle yalnızca etkilenen yazılımı kullanan kuruluş değil, aynı zamanda sistem üzerinde yerleşik yazılımı indirip çalıştırabilecek alt kullanıcılar da olur. “En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir” diyor. “Bu tür saldırılar, SolarWinds’in tehlikeye atılmış sürümlerinin çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla karşılaştırılabilir.”
Tedarik Zinciri Risklerini Ele Alma
Plate, üst düzeyde, yazılım kuruluşlarının kaynak kodu ile tüketicilere dağıtılacak son yapı eseri arasında izlenebilir ve doğrulanabilir bir bağlantı kurmaya çalışması gerektiğini söylüyor. Kaynak kodun hangi sürümünün girdi olarak kullanıldığı, çeşitli girdileri derlemek ve dönüştürmek için hangi araçların kullanıldığı ve bunların konfigürasyonlarının neler olduğu gibi soruları yanıtlayabilmeleri gerekir. SLSA projesi ve NIST’in DevSecOps CI/CD Pipeline’daki Yazılım Tedarik Zinciri Güvenliğinin Entegrasyonu Stratejileri gibi kaynaklar, yazılım ekiplerinin CI/CD güvenliğini ele almak için atabileceği adımlar hakkında uygulanabilir tavsiyeler sunar, Plaka notları.
Ayrıca, Yeniden Üretilebilir yapılar gibi uygulamaların uygulanması, aynı girdiler ve ortam kullanıldığı sürece bitleri aynı olan yazılım yapıtları ürettikleri için uzlaşma sonrası durumlarda yardımcı olabilir. Plate, “Ancak yapıları tekrarlanabilir hale getirmek ciddi bir çaba gerektirebilir ve olaydan önce uygulamaya konmuş olmalıdır” diyor.
JetBrains, güvenlik açığının açıklandığı sırada TeamCity’nin sabit bir sürümünü (sürüm 2023.05.4) yayınladı ve kuruluşlara, tehdide maruz kalmayı azaltmak için bu sürüme yükseltme yapmalarını şiddetle tavsiye etti. Şirket ayrıca, yeni sürüme hemen güncelleme yapamayan kuruluşların, RCE sorununu gidermek için mevcut TeamCity sürümlerine takabilecekleri bir güvenlik yaması da yayınladı.