Detección de CVE-2023-42793: Una Vulnerabilidad de Omisión de Autenticación que Conduce a RCE en el Servidor de JetBrains TeamCity
Tabla de contenidos:
Siguiendo de cerca las campañas adversarias que abusan de la CVE-2023-29357 vulnerabilidad en Microsoft SharePoint Server causando una cadena RCE pre-autenticación, otra falla de seguridad que puede permitir a los atacantes realizar RCE causa revuelo en el ámbito de las amenazas cibernéticas. Una vulnerabilidad crítica en el servidor CI/CD JetBrains TeamCity rastreada como CVE-2023-42793 permite a los adversarios obtener RCE en las instancias comprometidas, robar código fuente y potencialmente llevar a ataques a la cadena de suministro.
Detectar la Explotación de CVE-2023-42793
El panorama de amenazas en constante crecimiento, con el número siempre creciente de vulnerabilidades que afectan a aplicaciones empresariales populares, requiere una estrategia proactiva de detección de amenazas para detener las brechas de seguridad a tiempo. La plataforma SOC Prime ofrece una serie de herramientas de ciberseguridad confiables para mejorar la eficiencia de sus operaciones SOC.
Adéntrese en el feed más rápido del mundo sobre los TTP más recientes utilizados por los adversarios para siempre estar a la vanguardia de las amenazas emergentes. Para detectar posibles intentos de explotación de CVE-2023-42793, SOC Prime ofrece una regla Sigma curada por nuestro atento desarrollador de Threat Bounty Aykut Gürses. La detección está mapeada al marco de trabajo MITRE ATT&CK® y acompañada de metadatos extensos para agilizar la investigación.
La regla es compatible con 18 tecnologías SIEM, EDR, XDR y Data Lake, abordando tácticas de Persistencia con Componente de Software de Servidor (T1505) como la técnica principal.
Para sumergirse en la colección completa de reglas de detección para vulnerabilidades emergentes y críticas, presione el botón Explorar Detecciones a continuación. Todas las reglas están acompañadas de un contexto de amenazas cibernéticas extenso y CTI para potenciar la investigación de amenazas.
Los Ingenieros de Detección Aspirantes pueden afilar sus habilidades Sigma y ATT&CK uniéndose al Programa de Recompensas de Amenazas. Entrene sus habilidades de codificación de detección para avanzar en una carrera de ingeniería mientras enriquece la experiencia de la industria colectiva y obtiene recompensas financieras por su aporte.
Descripción CVE-2023-42793
TeamCity es un servidor CI/CD popular de JetBrains destinado a optimizar los procesos de DevOps, utilizado por más de 30,000 usuarios. Con CVE-2023-42793, una vulnerabilidad crítica de JetBrains TeamCity que llega al ámbito de las amenazas cibernéticas, las organizaciones y usuarios individuales que dependen de este software en sus operaciones diarias están expuestos a amenazas potenciales. CVE-2023-42793 fue descubierto por el investigador de vulnerabilidades de Sonar, Stefan Schiller, quien proporcionó un análisis detallado de este fallo crítico resaltando los riesgos de divulgación de código fuente tras su explotación exitosa. La vulnerabilidad de bypass de autenticación descubierta con una alta puntuación CVSS alcanzando 9.8 permite a atacantes no autorizados ejecutar código arbitrario en las instancias afectadas de TeamCity desde la versión 2023.05.3 y anteriores. Como resultado de una explotación exitosa de CVE-2023-42793, los actores de amenaza pueden robar código fuente junto con secretos de servicio almacenados y claves privadas. Además, los intentos de explotación exitosos permiten a los atacantes inyectar código malicioso después de obtener acceso al proceso de construcción, lo que puede conducir a ataques a la cadena de suministro y al compromiso total del sistema.
CVE-2023-42793 supone una amenaza para los dispositivos TeamCity en las instalaciones, con las versiones de software en la nube sin ser afectadas. En respuesta a los riesgos crecientes, JetBrains emitió una entrada de blog detallada que cubre un análisis exhaustivo de la vulnerabilidad y cómo eliminar su impacto. La vulnerabilidad ha sido parcheada en la versión 2023.05.4 de TeamCity.
Como medidas de mitigación recomendadas para CVE-2023-42793, se insta a todos los usuarios de las plataformas de servidores TeamCity en las instalaciones a actualizar su software a la última versión. Para aquellos que no pueden actualizar, JetBrains también ha lanzado un complemento de parche de seguridad para abordar específicamente el error de seguridad RCE mencionado anteriormente.
Los investigadores de ciberseguridad expresan preocupaciones sobre la explotación de CVE-2023-42793 en la naturaleza, ya que este fallo crítico no requiere una cuenta válida en el sistema objetivo y es fácil de armar por los adversarios. Con Uncoder AI de SOC Prime, los defensores pueden elevar sus procedimientos de ingeniería de detección y prevenir riesgos contra amenazas emergentes codificando más rápido con un asistente de autocompletado integrado y verificaciones automáticas de lógica y sintaxis de reglas, así como auto-parseo de IOCs en consultas de búsqueda personalizadas para identificar instantáneamente cualquier intrusión y detener amenazas antes de que ataquen.
