Os servidores TeamCity da JetBrain se tornaram alvo de um invasor apoiado pela Rússia, CozyBear. Usando uma vulnerabilidade descoberta em março 2023, hackers foram capazes executar código arbitrário sem qualquer autorização.
Vulnerabilidade TeamCity explorada por CozyBear
Servidores JetBrains TeamCity, uma solução crucial no ciclo de vida de desenvolvimento de software, foram recentemente alvo de um ataque cibernético semelhante ao infame hack SolarWinds. O Serviço de Inteligência Estrangeira Russo (SVR)-o grupo apoiado CozyBear explorou uma vulnerabilidade grave nesses servidores, rastreado como CVE-2023-42793. Esta vulnerabilidade permitiu que invasores não autorizados contornassem as medidas de segurança e executassem código remotamente sem interação do usuário. Como resultado, isso representa um risco significativo para mais 30,000 Clientes JetBrains em todo o mundo.
A exploração mencionada foi descoberta em setembro e tem sido usado para comprometer uma ampla gama de empresas e mais de cem dispositivos em todo o mundo, afetando organizações nos Estados Unidos, Europa, Ásia, e Austrália. As vítimas vêm de vários setores, desde faturamento e finanças até jogos e dispositivos médicos. O impacto generalizado sublinha a natureza crítica da falha e as táticas empregadas pela CozyBear, anteriormente conhecido pelo ataque à cadeia de suprimentos da SolarWinds em 2020.
Táticas e técnicas do CozyBear
CozyBear usou vários táticas e técnicas em torno de Mimikatz no ataque cibernético aos servidores JetBrains TeamCity. Esta é uma ferramenta conhecida para extrair credenciais do Registro do Windows. Isso os ajudou a roubar informações e aumentar seus privilégios de acesso nos sistemas comprometidos. A CozyBear obteve um controle mais profundo e amplo sobre os sistemas afetados, elevando seus direitos de acesso.
Para melhorar ainda mais sua furtividade e eficácia, CozyBear implantado o backdoor GraphicalProton. Este backdoor usa serviços padrão de armazenamento em nuvem, como OneDrive e Dropbox, para operações de comando e controle. Especificamente, ele usou um arquivo BMP gerado aleatoriamente para salvar as informações. Isso permitiu que a CozyBear mascarasse suas comunicações maliciosas em meio ao tráfego regular, reduzindo significativamente a probabilidade de detecção.
Outro ataque SolarWinds?
O ataque SolarWinds em 2020 foi devido às credenciais da empresa serem publicly available on GitHub. Pesquisador de segurança cibernética Vinoth Kumar descoberto em 2018 que SolarWinds’ as credenciais do servidor de atualização estavam acessíveis abertamente em seu repositório GitHub. No entanto, ninguém parece estar prestando atenção então. O ataque comprometeu alvos importantes e afetou sobre 18,000 Clientes SolarWinds.
Além disso, uma ação imediata é crucial para responder a falhas de segurança. Geral, o ataque à SolarWinds ressalta o desafio contínuo e em evolução da segurança cibernética em um mundo digital altamente interconectado, onde vigilância e defesa proativa são essenciais. No entanto, a realidade que estamos vendo hoje sugere o contrário.
Mitigação e Resposta
JetBrains lançou um patch para resolver problemas de segurança e recomenda aplicá-lo imediatamente para reduzir riscos. As correções estão incluídas na versão dos servidores TeamCity 2023.05.4 ou mais tarde. Apesar desses esforços, Os relatórios do Shadowserver mostram que sobre 800 instâncias em todo o mundo ainda não foram corrigidas, Com mais 230 localizado nos Estados Unidos. Parece que um flash mob de ignorar a instalação de atualizações e o subsequente asspain está se tornando uma tendência.