CVE-2023-42793 Detection: Large-Scale Exploitation of the JetBrains TeamCity Vulnerability by the russian Foreign Intelligence Service

FBI及びCISAは、米国および国際的なサイバーセキュリティ当局と連携して、CVE-2023-42793の大規模な悪用について世界のサイバー防御コミュニティに警告しています。これは、脆弱なインスタンスでのRCEにつながる可能性がある致命的なJetBrains TeamCity CVEです。関連するサイバーセキュリティアラートAA23-347Aは、ロシア外務省（SVR）によって代表される悪名高い APT29 ハッキング集団に継続中のサイバー攻撃を帰属させています。

CVE-2023-42793エクスプロイトの検出

世界が大規模なサイバー戦争の縁に立つ中、サイバー防御者は力を合わせて先手を打ち、増える脅威に耐えようとしています。SOC Primeの集団サイバー防御プラットフォームを装備したセキュリティ実務者は、常に豊富なメタデータで強化された新たな脅威に対応するための精選されたコンテンツを入手できます。

JetBrains TeamCityソフトウェアのCVE-2023-42793脆弱性を利用したSVR関連の攻撃を常に把握するには、SOC Primeプラットフォームは使用しているSIEM、EDR、XDR、またはデータレイクソリューションに互換性のある18の検出ルールセットを提供します。すべてのルールは MITRE ATT&CKフレームワーク にマッピングされ、CTIリンク、メディアリファレンス、トリアージ推奨事項など詳細なメタデータが付与されています。以下の 検出を探索 ボタンを押して、精選された検出スタックを掘り下げてください。

検出を探索

脅威の調査を効率化し、検出エンジニアリング業務を強化するには、セキュリティ専門家は Uncoder AIを活用できます。該当するアラートからフォレンジックデータを貼り付け、翻訳ボタンを押すことで、選択したセキュリティソリューションで実行する準備が整ったカスタム検索クエリを入手できます。

より安全な明日に貢献するサイバー防御者の一員になりたいですか？ SOC Prime Threat Bounty プログラムに登録し、独自の検出ルールを提出し、将来の履歴書を作成し、業界の専門家とネットワークを構築し、貢献に対して継続的な報酬を受け取ります。

CVE-2023-42793分析: サイバーセキュリティアドバイザリにおけるJetBrains TeamCityの脆弱性の悪用

ロシアの国家支援によるハッキング集団が仕掛ける大規模なサイバー攻撃は、 ウクライナとその同盟国に対する集団攻撃活動の一環として量と洗練を増しています。2023年12月13日、FBA、CISA、およびNSAは、米国および国際的なパートナーと協力して、 新たなサイバーセキュリティアラートを発行しました JetBrains TeamCityサーバーで追跡されている重大な脆弱性を武器化した継続的な攻撃を取り上げています CVE-2023-42793です。発見されたセキュリティ欠陥は、CVSSスコアが9.8に達する認証バイパス脆弱性であり、2023.05.4より前のソフトウェアバージョンに影響を与えます。継続中のキャンペーンでは、CISAとパートナーが米国、ヨーロッパ、アジア、オーストラリア全体で複数の企業が侵害されていることを検出しており、100を超えるTeamCityサーバーが侵害されています。

悪名高い APT29グループは、Dukes（別名 Cozy Bear, 、NOBELIUM、またはMidnight Blizzard）とも呼ばれ、ロシアのSVRに関連する秘密のハッキング部門で、モスクワの地政学的な目的に従って運営されています。これは、2023年9月以降JetBrains TeamCityソフトウェアをホストするサーバーを標的にした進行中の攻撃キャンペーンに関連しています。

少なくとも2013年以降、SVRのサイバー作戦は機密データおよび専有情報の盗難を目的とした深刻な脅威を世界的な組織にさらし、外国の情報収集活動を行っています。テクノロジー企業も侵略者の攻撃キャンペーンの一般的な標的の一つです。

TeamCityサーバーをホストするネットワークに対する最新の攻撃では、SVRは再びテクノロジー分野に狙いを定めています。CVE-2023-42793を利用することで、SVRは特にソフトウェア開発者のネットワークを侵害したネットワークを通じて被害者にアクセスすることができます。JetBrainsはこのセキュリティ欠陥に対するパッチを2023年9月中旬にリリースし、SVRの作戦を未パッチのインターネット接続TeamCityサーバーのみに制限しています。最新のアラートによると、SVRはネットワーク侵入のためにソフトウェア開発者へのアクセスをまだ活用しておらず、依然として攻撃準備段階にある可能性があります。

CVE-2023-42793の成功した悪用は、認可のバイパスと脆弱なサーバーでの任意のコード実行につながります。脅威アクターは、ホスト偵察やファイル流出の実行、および持続性を確保するためのスケジュールされたタスクの利用、及び検出回避のための一連の手法を用いることも観測されています。安全な足場を確立し、影響を受けたTeamCityサーバーを調査した後、敵はポートスキャナーやPowerSploitのような補助ツールと組み合わせた組み込みコマンドを活用してネットワーク偵察に集中しました。観察されたキャンペーンの過程で、ハッカーはGraphicalProtonやそのHTTPSバリアントを含む一連のカスタムおよびオープンソースの攻撃ユーティリティおよびバックドアを使用しました。

As 潜在的なCVE-2023-42793の緩和 対策として、JetBrains TeamCityの顧客には、サーバーをソフトウェアバージョン2023.05.4に更新することが推奨されます。代わりに、サーバーをすぐに更新する問題があるユーザーのために、セキュリティパッチプラグインを回避策として使用できます。

ロシアの攻撃部隊が率いる大規模キャンペーンのような国家支援のハッキンググループにリンクするサイバー攻撃の増加は、サイバーセキュリティ防御を強化する緊急性を強調しています。Threat Detection Marketplaceを探索し、精選されたSOCコンテンツのリストを入手して APT攻撃を検出 あらゆる規模と洗練度の