CVE-2023-42793 Erkennung: Eine Authentifizierungsumgehungsschwachstelle, die zu RCE auf dem JetBrains TeamCity Server führen kann
Inhaltsverzeichnis:
Heiße auf den Fersen der Angreifer-Kampagnen, die die CVE-2023-29357 Sicherheitslücke in Microsoft SharePoint Server missbrauchen und eine Pre-Auth-RCE-Kette verursachen, sorgt ein weiterer Sicherheitsfehler, der es Angreifern ermöglicht, RCE durchzuführen, für Aufruhr im Cyber-Bedrohungsumfeld. Eine kritische Sicherheitslücke im JetBrains TeamCity CI/CD Server, die als CVE-2023-42793 verfolgt wird,erlaubt es Angreifern, RCE auf den kompromittierten Instanzen zu erlangen, Quellcode zu stehlen und potenziell zu weiteren Lieferkettenangriffen zu führen.
Erkennung der Ausnutzung von CVE-2023-42793
Die ständig wachsende Bedrohungslandschaft mit der stetig steigenden Anzahl von Sicherheitslücken, die beliebte Geschäftsanwendungen betreffen, erfordert eine proaktive Bedrohungserkennungsstrategie, um Sicherheitsverletzungen rechtzeitig zu verhindern. Die SOC Prime Plattform bietet eine Reihe zuverlässiger Cybersicherheitstools, um die Effizienz Ihrer SOC-Operationen zu verbessern.
Tauchen Sie ein in den weltweit schnellsten Feed über die neuesten TTPs, die von Angreifern verwendet werden, um stets über aufkommende Bedrohungen informiert zu bleiben. Um mögliche Ausnutzungsversuche von CVE-2023-42793 zu erkennen, bietet SOC Prime eine kuratierte Sigma-Regel von unserem aufmerksamen Threat Bounty-Entwickler Aykut Gürses. Die Erkennung ist auf das MITRE ATT&CK®-Framework abgebildet und wird von umfangreichen Metadaten begleitet, um die Untersuchung zu erleichtern.
Die Regel ist mit 18 SIEM-, EDR-, XDR- und Data-Lake-Technologien kompatibel und adressiert Persistenztaktiken mit Server-Software-Komponente (T1505) als Haupttechnik.
Um in die gesamte Sammlung von Erkennungsregeln für aufkommende und kritische Sicherheitslücken einzutauchen, klicken Sie auf den Entdecken Sie Erkennungen Button unten. Alle Regeln werden von umfangreichen Cyber-Bedrohungskontexten und CTI begleitet, um die Bedrohungsuntersuchungen zu optimieren.
Ehrgeizige Erkennungsingenieure können ihre Sigma- und ATT&CK-Fähigkeiten durch die Teilnahme am Crowdsourcing Threat Bounty Programmschärfen. Trainieren Sie Ihre Erkennungscodierungsfähigkeiten, um in einer Ingenieurkarriere voranzukommen, während Sie das kollektive Fachwissen der Branche bereichern und finanzielle Belohnungen für Ihren Beitrag verdienen.
CVE-2023-42793 Beschreibung
TeamCity ist ein beliebter CI/CD-Server von JetBrains, der darauf abzielt, DevOps-Prozesse zu rationalisieren, die von über 30.000 Nutzern genutzt werden. Mit CVE-2023-42793, einer kritischen Schwachstelle in JetBrains TeamCity, die im Cyber-Bedrohungsbereich auftritt, sind Organisationen und Einzelbenutzer, die sich im täglichen Betrieb auf diese Software verlassen, potenziellen Bedrohungen ausgesetzt. CVE-2023-42793 wurde von dem Sonar-Sicherheitsforscher Stefan Schiller entdeckt, der eine detaillierte Analyse dieser kritischen Schwachstelle durchgeführt und die Risiken der Offenlegung von Quellcode bei erfolgreicher Ausnutzung hervorgehoben hat. Die entdeckte Authentifizierungsumgehungsschwachstelle mit hohem CVSS-Score von 9,8 ermöglicht es unautorisierten Angreifern, beliebigen Code auf den betroffenen TeamCity-Instanzen von Version 2023.05.3 und darunter auszuführen. Durch eine erfolgreiche Ausnutzung von CVE-2023-42793 können Bedrohungsakteure Quellcode sowie gespeicherte Dienstgeheimnisse und private Schlüssel stehlen. Zudem geben erfolgreiche Ausnutzungsversuche den Angreifern grünes Licht, bösartigen Code nach dem Zugriff auf den Build-Prozess einzuspeisen, was zu Lieferkettenangriffen und vollständiger Systemkompromittierung führen kann.
CVE-2023-42793 stellt eine Bedrohung für lokale TeamCity-Geräte dar, während die Cloud-Software-Versionen nicht betroffen sind. Angesichts der eskalierenden Risiken hat JetBrains einen detaillierten Blogbeitrag veröffentlicht, der eine gründliche Schwachstellenanalyse und die Beseitigung ihrer Auswirkungen behandelt. Die Sicherheitslücke wurde in TeamCity Version 2023.05.4 gepatcht.
Als empfohlene CVE-2023-42793-Maßnahmen zur Risikominderung werden alle Nutzer der On-Premises-TeamCity-Serverplattformen aufgefordert, ihre Software auf die neueste Version zu aktualisieren. Für diejenigen, die nicht in der Lage sind, ein Upgrade durchzuführen, hat JetBrains auch ein Sicherheits-Patch-Plugin veröffentlicht, um das oben genannte RCE-Sicherheitsproblem speziell zu adressieren.
Cybersicherheitsforscher äußern Bedenken über die Ausnutzung von CVE-2023-42793 in freier Wildbahn, da diese kritische Schwachstelle kein gültiges Konto auf dem Zielsystem erfordert und leicht von Angreifern genutzt werden kann. Mit SOC Prime’s Uncoder AIkönnen Verteidiger ihre Erkennungstechniken verbessern und Risiken gegen aufkommende Bedrohungen vorwegnehmen, indem sie schneller mit einem integrierten Autovervollständigungsassistenten und automatisierten Regeln für Logik- und Syntaxprüfungen programmieren, sowie IOC automatisch in benutzerdefinierte Suchanfragen parsen, um Eindringlinge sofort zu identifizieren und Bedrohungen zu stoppen, bevor sie zuschlagen.
