Saldırganlar, fidye yazılımlarını, madeni para madencilerini ve arka kapı yüklerini dağıtmak için JetBrains Teamcity'deki güvenlik açıklarından yararlanıyor.
TeamCity Şirket İçi platformunda JetBrains tarafından CVE-2024-27198 ve CVE-2024-27199 olarak tanımlanan iki kritik güvenlik açığı 4 Mart 2024'te yayımlandı.
Bu kusurlar, saldırganların kimlik doğrulama korumalarını atlamasına ve güvenliği ihlal edilmiş sunucuları ele geçirmesine olanak tanır.
Hassas verilerin ve hayati sistemlerin gizliliği, bütünlüğü ve kullanılabilirliği, bu suç teşkil eden davranış nedeniyle risk altındadır ve bu durum, etkilenen işletmelerin mali durumlarını ve operasyonlarını da riske atar.
2023.11.3'e kadar olan tüm TeamCity Şirket İçi sürümleri sorunlardan etkilenmektedir; Bunları düzeltmek için 2023.11.4 sürümü yayımlandı.
Rapid7'nin Baş Güvenlik Araştırmacısı Stephen Fewer, iki güvenlik açığını buldu ve bunlar daha sonra Rapid7'nin güvenlik açığı açıklama politikası tarafından rapor edildi.
Şu anda bu güvenlik açıklarına yönelik halka açık kavram kanıtı (POC) istismarları mevcut ve bu da bunların yaygın olarak kullanılma olasılığını artırıyor.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Güvenlik Açıklarının Ayrıntıları
CVE-2024-27199– Dizin Geçişi Güvenlik Açığı
TeamCity web bileşenindeki CVE-2024-27199 olarak tanımlanan bir dizin geçiş güvenlik açığı (CWE-22), 7,3 gibi yüksek bir CVSS puanına sahiptir ve kimlik doğrulamayı atlama olasılığına sahiptir.
Bir saldırgan bu güvenlik açığını kullanarak az sayıda TeamCity sistem ayarını değiştirebilir ve gizli bilgileri ifşa edebilir.
CVE-2024-27198– Kimlik Doğrulamayı Atlama Güvenlik Açığı
Kritik CVSS puanı 9,8 olan CVE-2024-27198, TeamCity web bileşeninde aynı zamanda alternatif yol sorunu (CWE-288) içeren bir kimlik doğrulama atlama güvenlik açığıdır.
Yetkisiz bir saldırgan bu güvenlik açığını uzaktan kod yürütme (RCE) amacıyla kullanabilir.
CVE-2024-27198, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından tutulan bilinen istismar edilen güvenlik açıkları listesine de eklendi.
Trend Micro, tehdit aktörlerinin CVE-2024-27198'i kullanarak aşağıdakiler de dahil olmak üzere bir dizi kötü amaçlı işlem gerçekleştirebileceğini bildirdi:
- Jasmin fidye yazılımını bırakma
- XMRig kripto para madencisini dağıtma
- Kobalt Saldırısı işaretçilerinin konuşlandırılması
- SparkRAT arka kapısını dağıtma
- Etki alanı bulma ve kalıcılık komutlarını yürütme
Trend Micro araştırmacıları Cyber Security News ile şunları paylaştı: “Tehdit aktörleri, savunmasız Şirket İçi TeamCity sunucularında kimlik doğrulamayı atlamak ve takip eden komutları gerçekleştirmek için CVE-2024-27198 veya CVE-2024-27199'dan yararlanabilir.”
“Daha sonra, ek kötü amaçlı yazılım indirmek veya keşif komutlarını gerçekleştirmek için bir komut oluşturma ve komut dosyası yorumlayıcısı (PowerShell dahil) oluşturma gibi RCE ve TeamCity ile ilgili işlemleri gerçekleştirebilirler”.
Saldırganların yüklediği kötü amaçlı yazılım, sistemin komuta ve kontrol (C&C) sunucusuyla iletişim kurabilir ve Cobalt Strike işaretlerini ve uzaktan erişim truva atlarını (RAT'lar) dağıtmak gibi ekstra komutları çalıştırabilir. Son olarak, son bir yük olarak, dosyaları şifrelemek ve kurbanlardan fidye ödemesi talep etmek için fidye yazılımı kurulabilir.
Sömürü sonrası aşamada, araştırmacıların keşfettiği tehdit aktörlerinden biri bu güvenlik açıklarından yararlanıyor ve açık kaynaklı Jasmin fidye yazılımının bir çeşidini dağıtıyordu.
Fidye yazılımı, dosyaları yeniden adlandırmanın yanı sıra bir fidye notu da bırakabilir.
Uzmanlar ayrıca tehdit aktörlerinin hassas TeamCity sunucularına XMRig adı verilen açık kaynaklı kripto para madenciliği kötü amaçlı yazılımının bir çeşidini bulaştırdığını da gördü.
Ayrıca araştırmacılar, tehdit aktörlerinin Golang tabanlı SparkRAT arka kapısına ve açık kaynaklı XMRig kripto para madenciliği kötü amaçlı yazılımının bir çeşidine sahip savunmasız TeamCity sunucularını kullandığını keşfetti.
TeamCity müşterilerinin, bu güvenlik açıklarının sunucularını etkilemesi durumunda yazılımlarını mümkün olan en kısa sürede güncellemeleri teşvik edilmektedir.
Bu nedenle, bu güvenlik açıklarını azaltmak ve fidye yazılımı gaspının ve diğer enfeksiyonların daha fazla zarar vermesini önlemek için derhal harekete geçmek önemlidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.