勒索软件团伙现在利用 TeamCity RC 漏洞
勒索软件团伙现在瞄准了 JetBrains TeamCity 持续集成和部署服务器中最近修补的关键漏洞。 该缺陷(追踪为 CVE-2023-42793,严重性评分为 9.8/10)允许未经身份验证的攻击者在不需要用户交互的低复杂性攻击中成功利用身份验证绕过漏洞后获得远程代码执行 (RCE) 。
勒索软件团伙现在利用 TeamCity RCE 关键漏洞
勒索软件团伙现在瞄准了 JetBrains TeamCity 持续集成和部署服务器中最近修补的关键漏洞。
该缺陷(追踪为 CVE-2023-42793,严重性评分为 9.8/10)允许未经身份验证的攻击者在不需要用户交互的低复杂性攻击中成功利用身份验证绕过漏洞后获得远程代码执行 (RCE) 。
在 JetBrains 于 9 月 21 日发布 TeamCity 2023.05.4 解决关键安全问题一周后,瑞士安全公司 Sonar(其研究人员发现并报告了该漏洞)发布了完整的技术细节。
JetBrains 表示,该缺陷影响修补版本之前的所有 TeamCity 版本,但仅影响安装在 Windows、Linux 和 macOS 上或在 Docker 中运行的本地服务器。
“这使得攻击者不仅可以窃取源代码,还可以窃取存储的服务机密和私钥,”声纳漏洞研究员 Stefan Schiller 解释道。
“更糟糕的是:通过访问构建过程,攻击者可以注入恶意代码,损害软件版本的完整性并影响所有下游用户。”
非营利性互联网安全组织 Shadowserver Foundation 的安全研究人员发现 1240 个未打补丁的 TeamCity 服务器容易受到攻击。
易受攻击的 TeamCity 服务器
易受攻击的 TeamCity 服务器 (Shadowserver Foundation)
在易受攻击的 TeamCity 服务器上设置的目标
据威胁情报公司 GreyNoise 和 PRODAFT 称,就在 Sonar 发布博客文章几天后,多名攻击者开始利用这一关键的身份验证绕过漏洞。
PRODAFT 表示,多个勒索软件操作已将 CVE-2023-42793 漏洞添加到其武器库中,并利用它们来破坏易受攻击的 TeamCity 服务器。
PRODAFT 周末警告说:“许多流行的勒索软件组织开始将 CVE-2023-42793 武器化,并在其工作流程中添加利用阶段。”
“我们的 BLINDSPOT 平台在过去三天内检测到多个组织已被威胁行为者利用。不幸的是,他们中的大多数人将在未来几周内感到非常头疼。”
勒索软件团伙现在瞄准了 JetBrains TeamCity 持续集成和部署服务器中最近修补的关键漏洞。
该缺陷(追踪为 CVE-2023-42793,严重性评分为 9.8/10)允许未经身份验证的攻击者在不需要用户交互的低复杂性攻击中成功利用身份验证绕过漏洞后获得远程代码执行 (RCE) 。
在 JetBrains 于 9 月 21 日发布 TeamCity 2023.05.4 解决关键安全问题一周后,瑞士安全公司 Sonar(其研究人员发现并报告了该漏洞)发布了完整的技术细节。
JetBrains 表示,该缺陷影响修补版本之前的所有 TeamCity 版本,但仅影响安装在 Windows、Linux 和 macOS 上或在 Docker 中运行的本地服务器。
“这使得攻击者不仅可以窃取源代码,还可以窃取存储的服务机密和私钥,”声纳漏洞研究员 Stefan Schiller 解释道。
“更糟糕的是:通过访问构建过程,攻击者可以注入恶意代码,损害软件版本的完整性并影响所有下游用户。”
非营利性互联网安全组织 Shadowserver Foundation 的安全研究人员发现 1240 个未打补丁的 TeamCity 服务器容易受到攻击。
易受攻击的 TeamCity 服务器
易受攻击的 TeamCity 服务器 (Shadowserver Foundation)
在易受攻击的 TeamCity 服务器上设置的目标
据威胁情报公司 GreyNoise 和 PRODAFT 称,就在 Sonar 发布博客文章几天后,多名攻击者开始利用这一关键的身份验证绕过漏洞。
PRODAFT 表示,多个勒索软件操作已将 CVE-2023-42793 漏洞添加到其武器库中,并利用它们来破坏易受攻击的 TeamCity 服务器。
PRODAFT 周末警告说:“许多流行的勒索软件组织开始将 CVE-2023-42793 武器化,并在其工作流程中添加利用阶段。”
“我们的 BLINDSPOT 平台在过去三天内检测到多个组织已被威胁行为者利用。不幸的是,他们中的大多数人将在未来几周内感到非常头疼。”
关于作者
评论0次