CVE-2023-42793 Detection: An Authentication Bypass Vulnerability Leading to RCE on JetBrains TeamCity Server

적이 악용하는 캠페인에 이어 CVE-2023-29357 취약점 Microsoft SharePoint Server의 사전 인증 RCE 체인을 초래하는 취약점에 이어 공격자가 RCE를 수행할 수 있게 하는 또 다른 보안 결함이 사이버 위협 환경에서 논란을 일으키고 있습니다. JetBrains TeamCity CI/CD 서버에서 추적된 치명적인 취약점인 CVE-2023-42793은 공격자가 침해된 인스턴스에서 RCE를 얻고 소스 코드를 탈취하며 추가적인 공급망 공격으로 이어질 수 있습니다.

CVE-2023-42793 탐지

인기 있는 비즈니스 응용 프로그램에 영향을 미치는 취약점의 수가 끊임없이 증가하면서 점점 더 넓어지는 위협 환경은 시기적절한 보안 침해 방지를 위한 능동적인 위협 탐지 전략을 필요로 합니다. SOC Prime Platform은 SOC 운영의 효율성을 향상시키기 위한 신뢰할 수 있는 사이버 보안 도구를 제공합니다.

항상 신생 위협의 최선두에 서기 위해 적이 사용하는 최신 TTP에 대한 세계에서 가장 빠른 피드를 탐색하세요. 가능한 CVE-2023-42793 탐지 시도를 탐지하기 위해 SOC Prime은 Aykut Gürses 우리의 예리한 Threat Bounty 개발자가 작성한 큐레이트된 시그마 규칙을 제공합니다. 탐지는 MITRE ATT&CK® 프레임워크 에 매핑되고 조사 용이를 위해 광범위한 메타데이터가 동반됩니다.

가능한 CVE-2023-42793 (JetBrains TeamCity Server에서 RCE로 이끄는 인증 우회) 탐지 시도 (프록시를 통해)

이 규칙은 18개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며 Server Software Component (T1505)를 주요 기술로 사용하여 지속성 전술을 다룹니다.

신생 및 치명적인 취약점을 위한 전체 탐지 규칙 컬렉션을 탐사하려면 아래의 탐지 탐색 버튼을 누르세요. 모든 규칙은 위협 조사를 강화하기 위한 광범위한 사이버 위협 컨텍스트와 CTI를 동반합니다.

탐지 탐색

경망감 넘치는 탐지 엔지니어는 크라우드소싱된 Threat Bounty Program에 참가해 그들의 시그마와 ATT&CK 기술을 연마할 수 있습니다. 탐지 코딩 기술을 훈련하여 엔지니어링 경력을 발전시키고 산업 지식을 풍부하게 하며 기여에 대한 금전적 보상을 받을 수 있습니다.

CVE-2023-42793 설명

TeamCity는 JetBrains에서 제공하는 인기 있는 CI/CD 서버로, 30,000명 이상의 사용자가 활용하는 DevOps 프로세스를 원활하게 합니다. CVE-2023-42793와 함께, 사이버 위협 환경에 등장하는 치명적인 JetBrains TeamCity 취약점은 이 소프트웨어에 매일 의존하는 조직 및 개인 사용자에게 잠재적인 위협을 가져옵니다. CVE-2023-42793는 Sonar 취약점 연구원 Stefan Schiller에 의해 발견되었으며, 이 중요한 결함에 대한 심층 분석을 제공하여 성공적인 악용 시 소스 코드 공개의 위험성을 강조했습니다. CVSS 점수가 9.8에 이르는 높은 인증 우회 취약점은 권한이 없는 공격자가 2023.05.3 및 이하 버전의 영향을 받는 TeamCity 인스턴스에서 임의의 코드를 실행할 수 있게 합니다. CVE-2023-42793의 성공적인 악용 결과로 위협 행위자는 소스 코드뿐만 아니라 저장된 서비스 시크릿과 개인 키를 탈취할 수 있습니다. 더 나아가, 성공적인 악용 시도는 공격자가 빌드 프로세스에 접근한 후 악성 코드를 주입하여 공급망 공격과 전체 시스템 침해를 초래할 수 있습니다.

CVE-2023-42793는 온프레미스 TeamCity 디바이스에 위협이 되며, 클라우드 소프트웨어 버전에는 영향을 미치지 않습니다. 위험이 증대함에 따라 JetBrains는 자세한 블로그 게시글을 발행하여 철저한 취약점 분석 및 그 영향을 제거하는 방법을 다루었습니다. 이 취약점은 TeamCity 버전 2023.05.4에서 패치되었습니다.

권장하는 CVE-2023-42793 완화 조치로, 모든 온프레미스 TeamCity 서버 플랫폼 사용자는 최신 버전으로 소프트웨어를 업데이트할 것을 촉구합니다. 업그레이드할 수 없는 사용자들을 위해 JetBrains는 위에서 언급한 RCE 보안 버그를 해결하기 위한 보안 패치 플러그인도 출시했습니다.

사이버 보안 연구원들은 이 중요한 취약점이 표적 시스템에서 유효한 계정이 필요하지 않고 적이 쉽게 무기화할 수 있기 때문에 야생에서의 CVE-2023-42793 악용에 대해 우려를 표명합니다. SOC Prime의 Uncoder AI로 수비수는 내장된 자동 완성 마법사 및 자동 규칙 논리 및 구문 검사뿐만 아니라 IOC를 사용자 지정 검색 쿼리로 자동 구문 분석하여 침입을 즉시 식별하고 위협이 발생하기 전에 멈출 수 있는 더 빠른 코딩으로 탐지 엔지니어링 절차를 향상시킬 수 있습니다.