FortiGuard Outbreak Alerts: JetBrains TeamCity Authentication Bypass Attack

Nền tảng bị ảnh hưởng: Những thiết bị chạy các phiên bản JetBrains TeamCity dễ bị tấn công ( trước 2023.05.4, theo khuyến nghị của nhà cung cấp)

Mối đe dọa: Lỗ hổng thực thi mã code từ xa

Tác động: Thực thi mã code từ xa với người dùng chưa được xác thực, cho phép truy cập ban đầu vào các máy chủ dễ bị tấn công

Mức độ bảo mật: Cao

 Giới Thiệu

TeamCity là một ứng dụng tích hợp liên tục/triển khai liên tục (CI/CD) được các tổ chức sử dụng cho DevOps và các hoạt động phát triển phần mềm khác. Các nhà phát triển phần mềm sử dụng TeamCity để quản lý và tự động hóa việc biên dịch, xây dựng, thử nghiệm và phát hành phần mềm.

Ngày 06 Tháng 9 Năm 2023, các nhà nghiên cứu của Sonar đã phát hiện một lỗ hổng nghiêm trọng của TeamCity On-Premises (CVE-2023-42793).

Ngày 20 Tháng 9 Năm 2023, JetBrains đã phát hành bản khuyến nghị và bản sửa lỗi nóng cho lỗ hổng bảo mật này.

Ngày 27 Tháng 9 Năm 2023, Rapid7 phát hành một bản khai thác công khai cho lỗ hổng này. Lỗ hổng nghiêm trọng này có điểm CVE là 9.8, rất có thể là do kẻ tấn công có thể triển khai các khai thác công khai, mà không cần các kiểu xác thực có hỗ trợ thực thi mã từ xa trên máy chủ của nạn nhân, bằng cách sử dụng yêu cầu web cơ bản tới bất kỳ máy chủ web nào có thể truy cập mà nó đang lưu trữ ứng dụng dễ bị tấn công.

Lỗ hổng này đã được quan sát thấy đang bị khai thác rộng rãi và đã được thêm vào ‘Danh mục các lỗ hổng bị khai thác đã biết’ của CISA vào ngày 04 tháng 10 năm 2023.

Giữa tháng 10 Năm 2023, nhóm Ứng phó sự cố của FortiGuard (FortiGuard Incident Respone) đã gửi một thông báo lịch sự tới một tổ chức đã bị xâm phạm do lỗ hổng này. Tổ chức này đã thuê nhóm FortiGuard IR để điều tra các hoạt động độc hại trong mạng của họ. Nạn nhân là một tổ chức hoạt động trong ngành sản xuất y sinh có trụ sở tại Hoa Kỳ. Cuộc điều tra sau đó xác định rằng quyền truy cập ban đầu là thông qua việc khai thác lỗ hổng CVE-2023-42793 TeamCity bằng cách sử dụng tập lệnh khai thác được xây dựng tùy chỉnh được viết bằng Python.

Cyber Kill Chain®

Tóm tắt cuộc tấn công

Các sự bảo vệ của Fortinet trước lỗ hổng bảo mật này

Các phần mềm độc hại được sử dụng trong cuộc tấn công này đều được phát hiện và ngăn chặn bởi FortiGuard Antivirus như:

AntiVirus: W64/GraphicalProton.A!tr

AntiVirus: W64/Dukes.O!tr

AntiVirus: W32/Dukes.P!tr

AntiVirus: W32/PossibleThreat

FortiGate, FortiMail, FortiClient và FortiEDR đều hỗ trợ dịch vụ FortiGuard Antivirus. Dịch vụ FortiGuard Antivirus là một phần của các giải pháp đó, do đó, các khách hàng đang sử dụng những sản phẩm với cơ sở dữ liệu antivirus đã được cập nhật sẽ được bảo vệ.

Fortinet cũng đã phát hành một chữ kỹ IPS để chủ động bảo vệ khách hàng khỏi mối đe dọa này:

CVE-2023-42793: JetBrains.TeamCity.CVE-2023-42793.Authentication.Bypass

Các URL được dịch vụ FortiGuard Web Filtering đánh giá là “Malicious Websites” và “Malicious Activities Found”

Các dịch vụ FortiGuard IP ReputationAnti-Botnet Security chủ động ngăn chặn các cuộc tấn công này bằng cách tổng hợp dữ liệu IP nguồn độc hại từ mạng phân tán của Fortinet như các cảm biến mối đe dọa, CERT, MITER, các đối thủ cạnh tranh đang hợp tác và các nguồn toàn cầu  cộng tác khác để cung cấp thông tin cập nhật về mối đe dọa.

Để xem các giải pháp / sản phẩm của Fortinet đã bảo vệ (PROTECT), phát hiện (DETECT), phản hồi (RESPOND), khôi phục (RECOVER), nhận dạng (IDENTIFY) đối với cuộc tấn công này như thế nào, truy cập: https://www.fortiguard.com/outbreak-alert/jetbrains-teamcity-rce

Để xem chi tiết cách nhóm FortiGuard IR đã điều tra lổ hổng này và kết quả của các nỗ lực ngăn chặn, diệt trừ và khắc phục lỗ hổng bảo mật này, truy cập:

https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793

Hiện tại Tech Horizon là nhà phân phối chính thức của FORTINET tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Tú Võ/Tech Horizon

Tags: , ,

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.