Банды вымогателей стали использовать недавно исправленную критическую уязвимость в сервере непрерывной интеграции и развертывания TeamCity компании JetBrains.
Дефект (отслеживаемый как CVE-2023-42793 и имеющий оценку серьезности 9,8/10) позволяет неаутентифицированным злоумышленникам получить возможность удаленного выполнения кода (RCE) после успешной эксплуатации слабого места в обходе аутентификации в малосложных атаках, не требующих взаимодействия с пользователем.
Швейцарская компания Sonar (исследователи которой обнаружили и сообщили об уязвимости) опубликовала полные технические подробности через неделю после того, как компания JetBrains устранила критическую проблему безопасности, выпустив 21 сентября TeamCity 2023.05.4.
По словам представителей JetBrains, дефект затрагивает все версии TeamCity, предшествующие исправленному выпуску, но только On-Premises-серверы, установленные на Windows, Linux и macOS, или работающие в Docker.
"Это позволяет злоумышленникам не только похищать исходный код, но и хранить служебные секреты и закрытые ключи", - пояснил исследователь уязвимостей компании Sonar Стефан Шиллер.
"И это еще хуже: имея доступ к процессу сборки, злоумышленники могут внедрить вредоносный код, нарушив целостность выпускаемых программ и затронув всех последующих пользователей".
Исследователи безопасности из некоммерческой организации по интернет-безопасности Shadowserver Foundation обнаружили 1240 непропатченных серверов TeamCity, уязвимых для атак.
Цели атак на уязвимые серверы TeamCity
По данным компаний GreyNoise и PRODAFT, всего через несколько дней после публикации Sonar своего сообщения в блоге, многочисленные злоумышленники начали использовать этот критический недостаток обхода авторизации.
По словам представителей ПРОДАФТ, многие группировки, работающие с вымогательским ПО, уже добавили в свой арсенал эксплойты CVE-2023-42793 и используют их для взлома уязвимых серверов TeamCity.
"Многие популярные группы, занимающиеся вымогательством, начали использовать CVE-2023-42793 и добавили в свой рабочий процесс этап эксплуатации", - предупредила компания ПРОДАФТ в выходные.
"Наша платформа BLINDSPOT за последние три дня обнаружила множество организаций, уже эксплуатируемых угрожающими субъектами. К сожалению, большинство из них будут иметь огромную головную боль в ближайшие недели".
Атаки, исходящие по меньшей мере с 56 различных IP-адресов, были замечены GreyNoise, активно нацеливающимся на открытые через Интернет серверы JetBrains TeamCity в согласованных попытках проникнуть в непропатченные инсталляции.
Два дня назад компания GreyNoise предупредила все организации, не успевшие пропатчить свои серверы до 29 сентября, что существует высокая вероятность того, что их системы уже скомпрометированы.
Компания JetBrains утверждает, что ее платформа автоматизации сборки и тестирования TeamCity используется разработчиками более чем в 30 тыс. организаций по всему миру, включая Citibank, Ubisoft, HP, Nike и Ferrari.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!