Rilevamento CVE-2023-42793: Una Vulnerabilità di Bypass dell’Autenticazione che Porta a RCE su JetBrains TeamCity Server
Indice:
Sulla scia delle campagne degli avversari che sfruttano la CVE-2023-29357 vulnerabilità in Microsoft SharePoint Server, causando una catena RCE pre-autenticazione, un’altra falla di sicurezza che può permettere agli attaccanti di eseguire RCE suscita scalpore nel panorama delle minacce informatiche. Una vulnerabilità critica nel server JetBrains TeamCity CI/CD, tracciata come CVE-2023-42793 consente agli avversari di ottenere RCE sulle istanze compromesse, rubare il codice sorgente e, potenzialmente, portare ad ulteriori attacchi alla supply chain.
Rileva lo sfruttamento della CVE-2023-42793
Il panorama delle minacce in continua espansione, con il numero sempre crescente di vulnerabilità che colpiscono le applicazioni aziendali popolari, richiede una strategia proattiva di rilevamento delle minacce per fermare le violazioni di sicurezza in tempo. La piattaforma SOC Prime offre una serie di strumenti di cybersecurity affidabili per migliorare l’efficienza delle tue operazioni SOC.
Immergiti nel feed più rapido del mondo sulle ultime TTP utilizzate dagli avversari per restare sempre aggiornato sulle minacce emergenti. Per rilevare possibili tentativi di sfruttamento della CVE-2023-42793, SOC Prime offre una regola Sigma curata dal nostro attento sviluppatore Threat Bounty Aykut Gürses. La rilevazione è mappata al framework MITRE ATT&CK® ed è accompagnata da ampi metadati per facilitare l’indagine.
La regola è compatibile con 18 tecnologie SIEM, EDR, XDR e Data Lake, indirizzando le tattiche di Persistenza con il Component Software Server (T1505) come tecnica principale.
Per immergerti nell’intera collezione di regole di rilevazione per vulnerabilità emergenti e critiche, premi il Esplora Rilevazioni pulsante qui sotto. Tutte le regole sono accompagnate da ampio contesto sulle minacce informatiche e CTI per potenziare l’indagine sulle minacce.
I futuri ingegneri della rilevazione possono affinare le loro abilità Sigma e ATT&CK entrando nel Programma Threat Bounty. Allena le tue abilità di codifica per il rilevamento per avanzare nella carriera ingegneristica, arricchendo l’expertise collettiva del settore e guadagnando ricompense finanziarie per il tuo contributo.
Descrizione CVE-2023-42793
TeamCity è un popolare server CI/CD di JetBrains mirato a ottimizzare i processi DevOps utilizzato da oltre 30.000 utenti. Con CVE-2023-42793, una vulnerabilità critica di JetBrains TeamCity che arriva nel panorama delle minacce informatiche, le organizzazioni e gli utenti individuali che si affidano a questo software nelle operazioni quotidiane sono esposti a potenziali minacce. La CVE-2023-42793 è stata scoperta dal ricercatore di vulnerabilità Sonar, Stefan Schiller, che ha fornito un analisi approfondita di questa falla critica evidenziando i rischi di divulgazione del codice sorgente al suo sfruttamento riuscito. La vulnerabilità di bypass dell’autenticazione scoperta, con un alto punteggio CVSS che raggiunge 9.8, consente ad attaccanti non autorizzati di eseguire codice arbitrario sulle istanze TeamCity colpite dalla versione 2023.05.3 e precedenti. Come risultato dello sfruttamento riuscito della CVE-2023-42793, gli attori delle minacce possono rubare codice sorgente insieme a segreti di servizio memorizzati e chiavi private. Inoltre, tentativi di sfruttamento riusciti permettono ulteriori agli attaccanti di iniettare codice malevolo una volta ottenuto accesso al processo di build, il che può portare ad attacchi alla supply chain e al compromesso totale del sistema.
La CVE-2023-42793 rappresenta una minaccia per i dispositivi TeamCity on-premises, mentre le versioni software cloud non sono colpite. In risposta ai rischi in aumento, JetBrains ha pubblicato un blog post dettagliato che copre un’analisi approfondita della vulnerabilità e come eliminare il suo impatto. La vulnerabilità è stata corretta nella versione 2023.05.4 di TeamCity.
Come misure di mitigazione raccomandate per la CVE-2023-42793, tutti gli utenti delle piattaforme server TeamCity on-premises sono invitati ad aggiornare il loro software all’ultima versione. Per coloro che non possono eseguire l’aggiornamento, JetBrains ha anche rilasciato un plugin patch di sicurezza per affrontare specificamente il suddetto bug di sicurezza RCE.
I ricercatori in cybersecurity sollevano preoccupazioni sullo sfruttamento della CVE-2023-42793 in natura poiché questa falla critica non richiede un account valido sul sistema bersaglio ed è facile da sfruttare dagli avversari. Con Uncoder AI di SOC Prime, i difensori possono migliorare le loro procedure di ingegneria del rilevamento e prevenire i rischi contro le minacce emergenti codificando più velocemente con un mago di autocompletamento integrato e regole di logica e sintassi automatizzate, oltre a interpretari automatizzati degli IOC in query di ricerca personalizzate per identificare immediatamente qualsiasi intrusione e fermare le minacce prima che colpiscano.
