Federal Soruşturma Bürosu (FBI), Ulusal Güvenlik Ajansı (NSA) ve diğer ortak yazar kurumlar, Rus Dış İstihbarat Servisi (SVR) siber aktörlerinin CVE-2023-42793’ü geniş çapta istismar ederek saldırılarını hedefledikleri konusunda bir uyarı yayınladılar. Eylül 2023’ten bu yana JetBrains TeamCity yazılımını barındıran sunucular.
Yabancı İstihbarat Servisi’ne (SVR) bağlı siber aktörler aynı zamanda Gelişmiş Kalıcı Tehdit 29 (APT 29), Dukes, CozyBear ve NOBELIUM/Midnight Blizzard olarak da anılmaktadır.
Raporlara göre kurbanlar arasında pazarlama, satış, tıbbi cihazlar, faturalandırma, çalışan izleme, finansal yönetim, barındırma, araç üreticileri, küçük ve büyük BT şirketleri ve enerji ticareti birliği için yazılım sunan işletmeler yer alıyor.
JetBrains Güvenlik Açıklarından Yararlanan Siber Aktörler
SVR, TeamCity sunucularını barındıran ağları hedef alan bu yeni atfedilen operasyonla bilgisayar şirketlerine saldırmaya devam ediyor.
Yazar ajanslar, SVR’nin bir yazılım geliştirme programı olan CVE2023-42793’ten yararlanarak, özellikle de tehdit aktörlerine çeşitli yazılım geliştiricilerin ağlarını tehlikeye atma yeteneği vererek kurbanlara erişim sağlayabileceğini belirledi.
CVE2023-42793 olarak tanımlanan kusur, 2023.05.4’ten önceki sürümü etkiliyor; JetBrains TeamCity’de kimlik doğrulamayı atlamak mümkündü, bu da TeamCity Sunucusunda RCE’ye neden olabilirdi.
Yazılım geliştiricileri, CSA’ya göre TeamCity sunucularını kullanarak yazılım geliştirmeyi, derlemeyi, test etmeyi ve yayınlamayı yönetir ve otomatikleştirir.
Kötü niyetli aktörler, bir TeamCity sunucusuna erişimleri varsa, kötü niyetli tedarik zinciri operasyonları gerçekleştirebilir, kaynak kodu alabilir, sertifika imzalayabilir, yazılım dağıtımı ve derleme prosedürlerini bozabilir ve çok daha fazlasını gerçekleştirebilir.
CSA ayrıca tehdit aktörlerinin, güvenliği ihlal edilmiş ağ ortamlarına uzun vadeli, sürekli erişimi garanti altına almak için yana doğru hareket etme, arka kapı dağıtımı, ayrıcalık yükseltme gibi kötü niyetli işlemler ve diğer eylemler gerçekleştirdiğini belirtti.
Eylül 2023’ün ortalarında JetBrains, bu CVE için SVR’nin İnternet üzerinden erişilebilen yama yapılmamış TeamCity sunucularından yararlanacak şekilde çalışma yeteneğini kısıtlayan bir düzeltme yayınladı.
Yetki veren kurumlar, SVR’nin muhtemelen operasyonlarının hazırlık aşamasında olduğunu ve müşteri ağlarına erişim için yazılım geliştiricilere erişimini henüz kullanmadığını değerlendirse de, SVR’nin bu ağlara erişimi, ona tespit edilmesi zor olan ağları etkinleştirme şansı veriyor. komuta ve kontrol (C2) altyapısı.
NSA’nın Siber Güvenlik Direktörlüğü Direktörü Rob Joyce, “Rus siber aktörler istihbarat toplamak için bilinen güvenlik açıklarından yararlanmaya devam ediyor” dedi.
“Sistemlere hızlı bir şekilde yama uygulanmasını sağlamak, azaltımları uygulamak ve bu raporda listelenen IOC’leri kullanarak düşmanın kalıcı erişimini tespit etmek kritik önem taşıyor.”
Öneri
Ajanslar, SVR siber aktörlerinin kötü niyetli eylemlerine dayanarak, işletmelere uyarıdaki azaltımları uygulayarak siber güvenlik duruşlarını geliştirmelerini tavsiye ediyor. Azaltımlar aşağıdaki gibidir:
- JetBrains TeamCity’den bir yama uygulama
- Ağı izleyin
- Ana bilgisayar tabanlı ve uç nokta koruma çözümlerinin kurulması
- Çok faktörlü kimlik doğrulamayı kullanma
- Günlük dosyalarını denetleme