Detecção CVE-2023-42793: Uma Vulnerabilidade de Bypass de Autenticação que Leva a RCE no Servidor JetBrains TeamCity
Índice:
Em meio às campanhas adversárias explorando a CVE-2023-29357 vulnerabilidade no Microsoft SharePoint Server causando uma cadeia de RCE pré-autenticação, outra falha de segurança que pode permitir que atacantes realizem RCE causa alvoroço no cenário de ameaças cibernéticas. Uma vulnerabilidade crítica no servidor JetBrains TeamCity CI/CD rastreada como CVE-2023-42793permite que adversários obtenham RCE nas instâncias comprometidas, roubem código-fonte e potencialmente levem a ataques à cadeia de suprimentos.
Detectar Exploração da CVE-2023-42793
O cenário de ameaças em constante crescimento, com o número crescente de vulnerabilidades afetando aplicações empresariais populares, requer uma estratégia proativa de detecção de ameaças para evitar brechas de segurança a tempo. A Plataforma SOC Prime oferece uma série de ferramentas de cibersegurança confiáveis para aumentar a eficiência das operações do seu SOC.
Mergulhe no feed mais rápido do mundo sobre as últimas TTPs usadas por adversários para sempre estar à frente das ameaças emergentes. Para detectar possíveis tentativas de exploração da CVE-2023-42793, a SOC Prime oferece uma regra Sigma selecionada pelo nosso atento desenvolvedor Threat Bounty Aykut Gürses. A detecção é mapeada para o MITRE ATT&CK® framework e acompanhada por metadados extensivos para simplificar a investigação.
A regra é compatível com 18 tecnologias SIEM, EDR, XDR e Data Lake, abordando táticas de Persistência com Componente de Software de Servidor (T1505) como a técnica principal.
Para acessar toda a coleção de regras de detecção para vulnerabilidades emergentes e críticas, clique no botão Explore Detections abaixo. Todas as regras são acompanhadas por um contexto abrangente de ameaças cibernéticas e CTI para melhorar a investigação da ameaça.
Os Aspirantes a Engenheiros de Detecção podem aprimorar suas habilidades Sigma e ATT&CK ao se juntarem ao Programa Threat Bounty. Treine suas habilidades de codificação de detecção para avançar em uma carreira de engenharia enquanto enriquece a expertise coletiva da indústria e ganhando recompensas financeiras por sua contribuição.
Descrição da CVE-2023-42793
TeamCity é um servidor CI/CD popular da JetBrains projetado para agilizar processos DevOps utilizado por mais de 30.000 usuários. Com CVE-2023-42793, uma vulnerabilidade crítica do JetBrains TeamCity chegando à arena de ameaças cibernéticas, organizações e usuários individuais que confiam neste software em suas operações diárias estão expostos a ameaças potenciais. A CVE-2023-42793 foi descoberta pelo pesquisador de vulnerabilidades da Sonar, Stefan Schiller, que forneceu uma análise aprofundada desta falha crítica destacando os riscos de divulgação de código-fonte após sua exploração bem-sucedida. A vulnerabilidade de bypass de autenticação descoberta com uma pontuação CVSS alta de 9.8 permite que atacantes não autorizados executem código arbitrário nas instâncias afetadas do TeamCity da versão 2023.05.3 e anteriores. Como resultado da exploração bem-sucedida da CVE-2023-42793, os atores de ameaças podem roubar código-fonte juntamente com segredos de serviço armazenados e chaves privadas. Além disso, tentativas de exploração bem-sucedidas dão aos atacantes luz verde para injetar código malicioso após obter acesso ao processo de construção, o que pode levar a ataques à cadeia de suprimentos e comprometimento total do sistema.
A CVE-2023-42793 representa uma ameaça para os dispositivos TeamCity locais, com as versões de software em nuvem não sendo afetadas. Em resposta aos riscos crescentes, a JetBrains emitiu uma postagem de blog detalhada cobrindo uma análise minuciosa da vulnerabilidade e como eliminar seu impacto. A vulnerabilidade foi corrigida na versão 2023.05.4 do TeamCity.
Como medidas recomendadas de mitigação da CVE-2023-42793, todos os usuários das plataformas de servidor TeamCity on-premises são instados a atualizar seu software para a versão mais recente. Para aqueles que não podem atualizar, a JetBrains também lançou um plugin de patch de segurança para abordar especificamente o bug de segurança RCE mencionado acima.
Pesquisadores de cibersegurança levantam preocupações sobre a exploração da CVE-2023-42793 em campo, pois esta falha crítica não requer uma conta válida no sistema-alvo e é fácil de ser utilizada por adversários. Com o Uncoder AI da SOC Prime, os defensores podem elevar seus procedimentos de engenharia de detecção e antecipar riscos contra ameaças emergentes ao codificar mais rapidamente com um assistente de preenchimento automático embutido e verificações automatizadas de lógica e sintaxe de regras, bem como auto-analisar IOCs em consultas de pesquisa personalizadas para identificar instantaneamente qualquer intrusão e interromper ameaças antes que elas ataquem.
