האקרים רוסים מכוונים לפגמי אבטחה של JetBrains TeamCity

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) פרסמה אזהרה ששירותי הביון הזרים הרוסיים מנצלים פגיעות ב-CI/ כלי התקליטור TeamCity.

CISA, יחד עם ה-FBI וה-NSA, מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC), ושירות המודיעין הצבאי של פולין (SKW) ו-CERT Polska (CERT.PL), צפו יחד בשחקן האיום הרוסי מנצל CVE "ברחבה קנה מידה" מאז ספטמבר 2023.

הקבוצה אומרת שחשבונות TeamCity שנפגעו עלולים לחשוף קוד מקור למפתחים, חתימה על אישורים ועוד.

ארגונים הזהירו מפני האקרים רוסים

CISA אומרת שכוונתה היא לגרום לארגונים לבצע חקירות משלהם ולאבטח את הרשתות שלהם. אנו מקווים גם שחברות אבטחת סייבר יוכלו להכין את עצמן טוב יותר למתקפות הללו הודות לאזהרה מוקדמת של כמה מגופי האבטחה המובילים בעולם.

הקבוצה, הידועה במגוון שמות, כולל APT 29, The Dukes, CozyBear ו-NOBELIUM/Midnight Blizzard, ופעילה מאז 2013 לפחות, השתמשו בשיטות דומות כדי להתפשר על לקוחות SolarWinds בשנת 2020. למעשה, ממשלת ארה"ב הפעילה בעבר פעמוני אזעקה לגבי הקבוצה בהודעות ייעוץ אחרות במהלך השנים.

במקרה זה, הקבוצה מנצלת את CVE-2023-42793 מה שגורם לתירוץ קוד שרירותי בשרת על ידי הפעלת טיפול לא מאובטח בנתיבים ספציפיים.

תיאור של הפגיעות קורא: "ב-JetBrains TeamCity לפני 2023.05.4 היה אפשרי מעקף אימות המוביל ל-RCE בשרת TeamCity."

CISA אמרה שהיא לא מודעת לשום וקטור גישה ראשוני אחר ל-JetBrains TeamCity, אבל חברות ברחבי ארה"ב, אירופה וחלקים אחרים של העולם קיבלו הודעה.

רק לפני מספר שבועות, Microsoft אמרה שגם האקרים צפון קוריאנים בעלי קשרי מדינה ניצלו את אותו CVE.

JetBrains כבר הוציאה תיקון, כלומר ההתקפות האופורטוניסטיות כעת מסתמכות על משתמשים שעדיין לא החלו את העדכון, והדגשה נוספת החשיבות העצומה של שמירה על תיקוני אבטחה כאשר וכאשר הם מתפרסמים.