CVE-2023-42793 Détection : Une Vulnérabilité de Contournement d’Authentification Menant à une Exécution de Code à Distance sur le Serveur JetBrains TeamCity

Dans la foulée des campagnes d’adversaires abusant de la CVE-2023-29357 vulnérabilité dans Microsoft SharePoint Server causant une chaîne RCE pré-auth, une autre faille de sécurité permettant aux attaquants d’effectuer une RCE fait sensation dans le paysage des menaces cyber. Une vulnérabilité critique dans le serveur CI/CD JetBrains TeamCity répertoriée comme CVE-2023-42793 permet aux adversaires de gagner une RCE sur les instances compromises, de voler le code source, et potentiellement de conduire à d’autres attaques sur la chaîne d’approvisionnement.

Détecter l’exploitation de CVE-2023-42793

Le paysage des menaces en constante évolution, avec le nombre sans cesse croissant de vulnérabilités affectant les applications commerciales populaires, nécessite une stratégie de détection proactive des menaces pour arrêter les violations de sécurité à temps. La plateforme SOC Prime offre un certain nombre d’outils de cybersécurité fiables pour améliorer l’efficacité de vos opérations SOC.

Plongez dans le flux le plus rapide du monde sur les dernières TTP utilisées par les adversaires pour rester toujours au top des menaces émergentes. Pour détecter les tentatives possibles d’exploitation de CVE-2023-42793, SOC Prime propose une règle Sigma organisée par notre développeur Threat Bounty passionné Aykut Gürses. La détection est mappée au cadre MITRE ATT&CK® et accompagnée d’une métadonnée extensive pour simplifier l’enquête.

Tentative possible d’exploitation de CVE-2023-42793 (contournement d’authentification menant à une RCE sur le serveur JetBrains TeamCity) (via proxy)

La règle est compatible avec 18 technologies SIEM, EDR, XDR et Data Lake, abordant les tactiques de Persistance avec Server Software Component (T1505) comme technique principale.

Pour plonger dans toute la collection de règles de détection pour les vulnérabilités émergentes et critiques, cliquez sur le bouton Explorer les détections ci-dessous. Toutes les règles sont accompagnées d’un contexte de menace cyber étendu et de CTI pour renforcer l’enquête sur les menaces.

Explorer les détections

Les ingénieurs de détection en herbe peuvent affiner leurs compétences en Sigma et ATT&CK en rejoignant le Programme Threat Bounty. Entraînez vos compétences en codage de détection pour avancer dans une carrière d’ingénierie tout en enrichissant l’expertise collective de l’industrie et en gagnant des récompenses financières pour votre contribution.

Description de CVE-2023-42793

TeamCity est un serveur CI/CD populaire de JetBrains destiné à rationaliser les processus DevOps exploités par plus de 30 000 utilisateurs. Avec CVE-2023-42793, une vulnérabilité critique de JetBrains TeamCity arrivant sur la scène des menaces cyber, les organisations et les utilisateurs individuels qui dépendent de ce logiciel dans leurs opérations quotidiennes sont exposés à des menaces potentielles. CVE-2023-42793 a été découverte par le chercheur en vulnérabilités de Sonar, Stefan Schiller, qui a fourni une analyse approfondie de cette faille critique soulignant les risques de divulgation de code source lors de son exploitation réussie. La vulnérabilité de contournement d’authentification découverte, avec un score CVSS élevé atteignant 9.8, permet aux attaquants non autorisés d’exécuter du code arbitraire sur les instances TeamCity affectées à partir de la version 2023.05.3 et inférieures. En conséquence d’une exploitation réussie de CVE-2023-42793, les acteurs de la menace peuvent voler le code source ainsi que les secrets de service et les clés privées stockées. De plus, les tentatives d’exploitation réussies permettent davantage aux attaquants d’injecter du code malveillant après avoir accédé au processus de construction, ce qui peut conduire à des attaques sur la chaîne d’approvisionnement et à une compromission complète du système.

CVE-2023-42793 constitue une menace pour les appareils TeamCity sur site, tandis que les versions logicielles dans le cloud ne sont pas affectées. En réponse à l’escalade des risques, JetBrains a publié un billet de blog détaillé couvrant une analyse approfondie de la vulnérabilité et comment éliminer son impact. La vulnérabilité a été corrigée dans TeamCity version 2023.05.4.

Comme mesures de mitigation recommandées pour CVE-2023-42793, tous les utilisateurs des plateformes de serveur TeamCity sur site sont priés de mettre à jour leur logiciel vers la dernière version. Pour ceux qui ne peuvent pas effectuer la mise à niveau, JetBrains a également publié un plugin de patch de sécurité pour traiter spécifiquement le bogue de sécurité RCE mentionné ci-dessus.

Les chercheurs en cybersécurité s’inquiètent de l’exploitation de CVE-2023-42793 en milieu sauvage, car cette faille critique ne nécessite pas de compte valide sur le système ciblé et est facile à armer par les adversaires. Avec Uncoder AI de SOC Prime, les défenseurs peuvent améliorer leurs procédures d’ingénierie de détection et prévenir les risques contre les menaces émergentes en codant plus rapidement avec un assistant de saisie semi-automatique intégré et des vérifications automatisées de la logique et de la syntaxe des règles, ainsi que d’auto-analyser les IOCs dans des requêtes de recherche personnalisées pour identifier instantanément toute intrusion et arrêter les menaces avant qu’elles ne frappent.