JetBrains 30 Eylül’de CVE-2023-42793 açıklandı ve CVSS ölçeğinde 10 üzerinden 9,8’e yakın maksimum şiddet puanı atadı 3 ve altı olup olmadığını belirleyerek belirlenebilir; bu, söz konusu sürümün savunmasız olduğu anlamına gelir Plate, “Ancak yapıları tekrarlanabilir hale getirmek ciddi bir çaba gerektirebilir ve olaydan önce uygulamaya konmuş olmalıdır” diyor Kaynaklar gibi SLSA projesi ve NIST’ler Yazılım Tedarik Zinciri Güvenliğinin DevSecOps CI/CD İşlem Hattına Entegrasyonu Stratejileri Yazılım ekiplerinin CI/CD güvenliğini ele almak için atabileceği adımlara ilişkin eyleme dönüştürülebilir tavsiyeler sunuyoruz, Plaka notları 000 kuruluşun yazılım oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için kullandığı bir platformdur 05 ”
Tedarik Zinciri Risklerinin Ele AlınmasıPlate, üst düzeyde, yazılım kuruluşlarının kaynak kodu ile tüketicilere dağıtılacak son yapı eseri arasında izlenebilir ve doğrulanabilir bir bağlantı kurmaya çalışması gerektiğini söylüyor
Ayrıca aşağıdaki gibi uygulamaların hayata geçirilmesi Tekrarlanabilir yapılar Aynı girdiler ve ortam kullanıldığı sürece bitleri aynı olan yazılım yapıları ürettikleri için uzlaşma sonrası durumlarda yardımcı olabilirler
Kritik Kimlik Doğrulamada Güvenlik Açığı AtlamaÖnceki kampanyalara göre Diamond Sleet, küresel olarak özellikle BT hizmetleri, medya ve savunmayla ilgili sektörlerdeki kuruluşlara yönelik bir tehdit oluşturuyor
JetBrains, güvenlik açığının açıklandığı sırada TeamCity’nin sabit bir sürümünü (sürüm 2023 Güvenlik açığı, TeamCity’nin tüm şirket içi sürümlerinde mevcuttur Saldırgan daha sonra hesabı Yerel Yöneticiler Grubuna ekliyor ve bunu, daha sonra belleğe yüklenip başlatılan gömülü bir Taşınabilir Yürütülebilir (PE) kaynağı indirip şifresini çözmek için kullanıyor Bu güvenlik açığından yararlanmak için ne kimlik doğrulamaya ne de herhangi bir kullanıcı etkileşimine gerek vardır” diyor Microsoft, “İç veri, güvenliği ihlal edilmiş ana bilgisayar ile saldırgan tarafından kontrol edilen altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan bir proxy aracıdır” dedi Microsoft, “İki tehdit aktörü aynı güvenlik açığından yararlanırken Microsoft, Diamond Sleet ve Onyx Sleet’in başarılı bir şekilde yararlanmanın ardından benzersiz araç ve teknikler kullandığını gözlemledi” dedi
Saldırılar, tehdit aktörlerinin, ilk erişim vektörü ve şirketlerden kaynak kodu ve sırların çalınması ve yazılım ve uygulamaların SolarWinds benzeri şekilde zehirlenme potansiyeline sahip olması için bir yol olarak yazılım geliştirme hatlarına artan ilgisinin en son göstergesidir
Güvenlik açığının doğası gereği, kullanımı da oldukça güvenilirdir
siber-1
Bu arada Microsoft, Onyx Sleet’in CVE-2023-42793’ü istismar ettikten sonraki taktiğinin, ele geçirilen sistemlerde meşru Kerberos Bilet Verme Bilet Hesabını taklit etmek üzere tasarlanmış görünen bir adla yeni bir kullanıcı hesabı oluşturmak olduğunu söyledi “Bu tür saldırılar, SolarWinds’in tehlikeye atılmış sürümlerinin çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla karşılaştırılabilir Schiller, “Güvenlik açığı bulunan bir örnek belirlendiğinde, istismar basittir
Saldırganlar, siber casusluk, veri hırsızlığı, mali amaçlı saldırılar ve ağ sabotajı da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak için bu hatadan yararlanıyor
Microsoft ayrıca Diamond Sleet aktörlerinin PowerShell’den yararlanarak kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) indirdiğini de gözlemledi; bu teknik, tehdit aktörlerinin ele geçirilen sistemlerde yetkisiz kod yürütmek için sıklıkla kullandığı bir teknikti
Gibi güvenlik açıkları CVE-2023-42793 Uygulama güvenliği şirketi Endor Labs’ın güvenlik araştırmacısı Henrik Plate, CI/CD platformundaki saldırıların geniş kapsamlı sonuçlara yol açabilecek tedarik zinciri saldırılarına olanak sağladığını söylüyor Kaynak kodun hangi sürümünün girdi olarak kullanıldığı, çeşitli girdileri derlemek ve dönüştürmek için hangi araçların kullanıldığı ve bunların konfigürasyonlarının neler olduğu gibi soruları yanıtlayabilmeleri gerekir Şirket ayrıca, yeni sürüme hemen güncelleme yapamayan kuruluşların, RCE sorununu gidermek için mevcut TeamCity sürümlerine takabilecekleri bir güvenlik yaması da yayınladı Microsoft bir raporda şunları söyledi: Bu hafta “En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir” diyor Yazılım satıcısı, güvenlik açığını, kimliği doğrulanmamış bir saldırının RCE saldırısı gerçekleştirmesine ve etkilenen, Internet’e açık bir TeamCity sunucusunda yönetici ayrıcalıkları kazanmasına olanak tanıdığını açıkladı
ForestTiger Arka Kapısı ve Diğer YüklerDiamond Fleet’in kusuru hedef alan saldırılarında, tehdit aktörü, daha önce tehlikeye atmış gibi görünen meşru altyapıdan iki kötü amaçlı veriyi indirmek için PowerShell’i kullanıyor TeamCity örneğinin sürümü, yalnızca giriş sayfasını ziyaret ederek ve söz konusu sürümün 2023
Microsoft’un Diamond Sleet ve Onyx Sleet olarak takip ettiği iki Kuzey Kore devlet destekli tehdit grubu, JetBrains TeamCity’nin şirket içi sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-42793’ü aktif olarak kullanıyor “Bu, kamuya açık tüm savunmasız örneklerin başarılı bir şekilde istismar edilmesini büyük olasılıkla mümkün kılıyor” diyor sunucu Diğer kötü amaçlı yük, kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı ve diğer parametreler hakkında bilgiler içeren bir yapılandırma dosyasıdır 4) yayınladı ve kuruluşlara, tehdide maruz kalmayı azaltmak için bu sürüme yükseltme yapmalarını şiddetle tavsiye etti TeamCity, aralarında Citibank, Nike ve Ferrari gibi birçok büyük markanın da bulunduğu yaklaşık 30
Bulmak ve Kullanmak ÖnemsizCVE-2023-42793’ü keşfedip JetBrains’e bildiren Sonar’daki güvenlik açığı araştırmacısı Stefan Schiller, bir tehdit aktörünün güvenlik açığını bulmasının ve kötüye kullanmasının çok kolay olduğunu söylüyor Etkiyi hisseden genellikle yalnızca etkilenen yazılımı kullanan kuruluş değil, aynı zamanda sistem üzerinde yerleşik yazılımı indirip çalıştırabilecek alt kullanıcılar da olur