2020 SolarWinds saldırısının ardındaki ünlü Rus gelişmiş kalıcı tehdidi APT29, JetBrains TeamCity’de yaygın yazılım tedarik zinciri saldırılarına kapı açabilecek kritik bir güvenlik açığından aktif olarak yararlanıyor.
Bu, CISA, FBI, NSA ve bir dizi uluslararası ortağın bugün ortak bir alarmla APT29’un (aka CozyBear, Dukes, Gece yarısı kar fırtınasıveya Nobelium), kimliği doğrulanmamış uzaktan kod yürütme (RCE) hatasını kullanarak TeamCity yazılımını “büyük ölçekte” barındıran sunuculara zarar veriyor. Federallere göre, sorunun istismarı şu şekilde takip ediliyor: CVE-2023-42793 (CVSS puanı 9,8), JetBrains’in kusuru düzeltmesi ve Rapid7’nin bunun için herkese açık bir kavram kanıtlama (PoC) istismarı yayınlamasıyla Eylül ayında başladı; ancak artık geniş çapta hasara yol açabilecek endişe verici küresel bir olgu haline geldi.
Etkilenen platform, kaynak kodundan imzalama sertifikalarına kadar her şeyi barındıran bir yazılım geliştirme yaşam döngüsü (SDLC) yönetim aracıdır. Başarılı saldırılar, siber saldırganların bu değerli verilere erişmesini sağlayabilir, ancak aynı zamanda yazılım derlemelerini ve dağıtım süreçlerini değiştirmenin bir yolunu da sağlayabilir; bu da başka bir saldırı olasılığını artırır. SolarWinds tipi saldırı dalgası ufukta olabilir.
“[An exploit] En basit senaryoda, cihazlara veya tüm ağlara erişime olanak sağlayacak şekilde rakip araçları çalıştırabilecek kötü amaçlı bir güncellemenin dağıtımına izin verebilir.” TeamCity saldırılarına ilişkin Çarşamba günkü ortak alarm. “Daha karmaşık senaryolarda, derleme hattına erişim, derlenmiş kaynak kodunun tehlikeye atılmasına ve yazılımda, korunan verilerin şifresinin çözülmesini mümkün kılabilecek kriptografi protokollerinde küçük değişiklikler gibi neredeyse tespit edilemeyen değişikliklerin yapılmasına izin verebilir.”
Kalıcı TeamCity Arka Kapıları Yamalamaya Dayanıklı
SolarWinds olayında APT29, meşru SolarWinds yazılım güncellemelerini bir kenara bırakıp otomatik olarak kurban ağlarının lejyonlarına ulaşmayı başardı. Grup, ele geçirilen 18.000 kişi arasından ikinci dalga saldırılar için hedefleri özenle seçti ve aralarında ABD’nin birçok devlet kurumuna ve teknoloji şirketine başarıyla sızdı. Microsoft Ve AteşGözü (artık Trellix’in bir parçası).
Şimdilik TeamCity saldırıları henüz o kadar ileri gitmedi. Ancak kurumların Rusya Dış İstihbarat Servisi’ne (SVR) bağladığı APT29’un “ayrıcalıklarını artırmak, yanlara doğru hareket etmek, ek arka kapılar dağıtmak ve kalıcı güvenlik sağlamak için başka adımlar atmak üzere TeamCity CVE’den yararlanılarak elde edilen ilk erişimi kullandığı gözlemlendi.” ve güvenliği ihlal edilmiş ağ ortamlarına uzun vadeli erişim” uyarısına göre.
Ve gerçekten de, eğer gizlenen önemli fırsatların peşinde koşan bir ulus devlet tehdidiyseniz, bu açıktan yararlanmanın faydalarından biri de yama uygulamasının tek başına tehlikeyi azaltmayacağı gerçeğidir. JetBrains’in orijinal hata tavsiyesinde belirttiği gibi, “TeamCity yükseltmesi veya güvenlik yaması eklentisi uygulandıktan sonra herhangi bir arka kapının varlığını sürdürmesi ve tespit edilememesi muhtemeldir, bu da ortamları daha fazla istismar riskiyle karşı karşıya bırakır.”
Shadowserver’a göre en azından ilk bakışta 800 yama yapılmamış TeamCity yazılım örneği dünya çapında internete maruz kalan; Kaç örneğin yamandığı belli değil ancak güvenliği ihlal edilmiş durumda kalabilir. Ve tabii ki bu sayı, kurumsal ağlara önceden erişimi olan gelişmiş saldırganların erişebildiği açığa çıkmamış örnekleri hesaba katmıyor.
APT Fırtınası CVE-2023-42793 Aracılığıyla Geliştiricileri Hedefliyor
APT29, savunmasız TeamCity örneklerinde sunulan cazip ödülleri dikkate alan devlet destekli tek siber tehdit değil. Ekim ayında Microsoft’un Tehdit İstihbarat Merkezi, Lazarus Group (diğer adıyla Diamond Sleet, Hidden Cobra veya Zinc) ve onun yan kuruluşu Andariel (diğer adıyla Onyx Sleet veya Plutonium) dahil olmak üzere Kuzey Kore destekli birkaç APT’ye işaret etti. TeamCity kalıcı arka kapılar kurmaya açık.
Ve bazı durumlarda birden fazla Büyük Kötü iş başındadır. Çarşamba günü ABD’li bir biyomedikal üretim şirketinde meydana gelen gerçek dünyadaki bir olayın mekaniğini derinlemesine inceleyen siber güvenlik firması Fortinet’teki araştırmacılar, uzlaşma göstergeleri (IoC) ve azaltma rehberliği – “gözlemlenen istismarın, kurban ağında bir yer edinmek amacıyla çok sayıda farklı istismar sonrası teknik kullanan birden fazla farklı tehdit aktöründen kaynaklandığını” kaydetti.
JetBrains TeamCity Siber Saldırılarına Karşı Nasıl Korunulur?
TeamCity hatasının yarattığı tehlikeyle (yani ortak uyarıya göre “ekonomiye, sivil kuruluşlara veya kamu güvenliğine verilen büyük zararlar”) mücadele etmek için kuruluşların, savunmasız örnekleri (2023.05.4 sürümüne kadar) yamalayarak başlaması gerekiyor. Bu noktadan sonra, kalıcı arka kapıları ortaya çıkarmak ve kaldırmak için IoC’lere dayalı aktif tehdit avcılığı yürütmek, her ikisi de bu konuda kapsamlı rehberlik sunan Fortinet ve Microsoft’a göre en önemli öncelik olmalıdır. Hem TeamCity sunucusu hem de derleme aracıları sorun belirtileri açısından incelenmelidir.
JetBrains, CVE-2023-42793 güvenlik tavsiyesinde, ekipler yamalama ve güvenlik açığı araştırmaları yürütürken, genel olarak erişilebilen tüm sunucuların İnternet erişiminden kaldırılmasını tavsiye etti.
Şirket ayrıca, araştırmacıların Windows tabanlı TeamCity ortamlarından aktif olarak yararlanıldığını gözlemlese de “bunun, Linux tabanlı TeamCity ortamlarının da benzer şekillerde sömürüldüğünü dışlamadığı” konusunda uyardı.