Los servidores TeamCity de JetBrain se convirtieron en el objetivo de un atacante CozyBear respaldado por Rusia. Usando una vulnerabilidad descubierta en marzo 2023, los hackers pudieron ejecutar código arbitrario sin ninguna autorización.
Vulnerabilidad de TeamCity explotada por CozyBear
Servidores JetBrains TeamCity, una solución crucial en el ciclo de vida del desarrollo de software, Recientemente han sido objeto de un ciberataque. similar al infame truco de SolarWinds. El servicio de inteligencia exterior ruso (RVS)-El grupo respaldado CozyBear aprovechó una vulnerabilidad grave en estos servidores, rastreado como CVE-2023-42793. Esta vulnerabilidad permitió a atacantes no autorizados eludir las medidas de seguridad y ejecutar código de forma remota sin interacción del usuario.. Como resultado, Esto representa un riesgo significativo para más de 30,000 Clientes de JetBrains en todo el mundo.
El exploit antes mencionado fue descubierto en septiembre. y se ha utilizado para comprometer una amplia gama de empresas y más de cien dispositivos en todo el mundo., afectando a organizaciones en los Estados Unidos, Europa, Asia, y Australia. Las víctimas provienen de diversos sectores., desde facturación y finanzas hasta juegos y dispositivos médicos. El impacto generalizado subraya la naturaleza crítica de la falla y las tácticas empleadas por CozyBear., anteriormente conocido por el ataque a la cadena de suministro de SolarWinds en 2020.
Tácticas y técnicas de CozyBear
CozyBear utilizó varios Tácticas y técnicas en torno a Mimikatz. en el ciberataque a los servidores JetBrains TeamCity. Esta es una herramienta muy conocida para extraer credenciales del Registro de Windows.. Les ayudó a robar información y aumentar sus privilegios de acceso dentro de los sistemas comprometidos.. CozyBear obtuvo un control más profundo y extenso sobre los sistemas afectados al elevar sus derechos de acceso..
Para mejorar aún más su sigilo y eficacia., CozyBear implementado la puerta trasera GraphicalProton. Esta puerta trasera utiliza servicios de almacenamiento en la nube estándar como OneDrive y Dropbox para operaciones de comando y control.. Específicamente, El usó un archivo BMP generado aleatoriamente para guardar la información. Esto permitió a CozyBear enmascarar sus comunicaciones maliciosas en medio del tráfico regular., reduciendo significativamente la probabilidad de detección.
Otro ataque de SolarWinds?
El ataque de SolarWinds en 2020 se debió a que las credenciales de la empresa eran publicly available on GitHub. Investigador de ciberseguridad Vinoth Kumar descubierto en 2018 que vientos solares’ Las credenciales del servidor de actualización eran accesibles abiertamente en su repositorio de GitHub.. Sin embargo, nadie parece estar prestando atención entonces. El ataque comprometió objetivos de alto perfil y afectó acerca de 18,000 Clientes de SolarWinds.
Además, La acción rápida es crucial para responder a las fallas de seguridad.. En general, El ataque a SolarWinds subraya el desafío continuo y en evolución de la ciberseguridad en un mundo digital altamente interconectado., dónde La vigilancia y la defensa proactiva son esenciales.. Sin embargo, la realidad que estamos viendo hoy sugiere lo contrario.
Mitigación y respuesta
JetBrains ha lanzado un parche para abordar problemas de seguridad y recomienda aplicarlo inmediatamente para reducir los riesgos. Las correcciones están incluidas en la versión de los servidores TeamCity. 2023.05.4 o después. A pesar de estos esfuerzos, Los informes de Shadowserver muestran que acerca de 800 instancias en todo el mundo aún no han sido parcheadas, con más de 230 ubicado en los estados unidos. Parece que un flash mob de ignorar la instalación de actualizaciones y el posterior asspain se está convirtiendo en una tendencia..