image

VS beschuldigt Russische geheime dienst van misbruik TeamCity-lek

donderdag 14 december 2023, 10:52 door Redactie, 3 reacties

De Russische geheime dienst SVR maakt sinds september gebruik van een kritieke kwetsbaarheid in TeamCity om servers van backdoors te voorzien en verdere aanvallen uit te voeren, zo claimen de Amerikaanse autoriteiten. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software.

Een aanvaller die toegang tot een TeamCity-server heeft, heeft zo ook toegang tot de broncode van de ontwikkelaar, de certificaten voor het signeren van software en kan zo het compileren en uitrollen van de software ondermijnen voor het uitvoeren van supply-chain-aanvallen. De Russische geheime dienst SVR wordt verantwoordelijk gehouden voor de wereldwijde supply-chain-aanval via SolarWinds. Vooralsnog zijn er geen aanwijzingen dat de dienst gecompromitteerde TeamCity-servers hiervoor gebruikt, aldus de FBI, de Amerikaanse geheime dienst NSA en de Britse en Poolse autoriteiten.

Om TeamCity-servers over te nemen zou de SVR gebruikmaken van een kwetsbaarheid aangeduid als CVE-2023-42793. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid maakt het niet alleen mogelijk voor aanvallers om broncode te stelen, maar ook opgeslagen service secrets en private keys.

"En het wordt nog erger: met toegang tot het buildproces kunnen aanvallers malafide code injecteren, de integriteit van software releases compromitteren en alle downstream gebruikers raken", meldde Stefan Schiller van securitybedrijf Sonar Source afgelopen september. Sonar Source rapporteerde het lek aan JetBrains, dat op 21 september met een beveiligingsupdate kwam.

De Russische geheime dienst zou TeamCity-servers via de kwetsbaarheid compromitteren en vervolgens van een backdoor voorzien. Vervolgens proberen de aanvallers zich lateraal door het netwerk van de aangevallen organisatie te bewegen en nemen maatregelen om voor een langere periode toegang tot het gecompromitteerde netwerk te behouden. De Amerikaanse, Britse en Poolse autoriteiten hebben nu meer informatie over de aanvallen gegeven en Indicators of Compromise (IoC's) gepubliceerd waarmee organisaties kunnen kijken of hun TeamCity-servers zijn gecompromitteerd. Volgens de Shadowserver Foundation zijn er nog achthonderd kwetsbare TeamCity-servers vanaf het internet toegankelijk.

Reacties (3)
14-12-2023, 15:27 door Anoniem
En de VS doet dat niet?
14-12-2023, 16:03 door Anoniem
tja, als je zo om gaat met de beveiliging van je core software, dan vraag je er ook wel een beetje om, toch?
Dit soort omgevingen horen nooit aan internet te hangen, net als je kerncentrale, je waterleidingen en je bankreke..

Moet je eens voorstellen wat 'de russen' zouden kunnen doen als ze bijvoorbeeld de hele rabobank kunnen leeghalen.
Iedere rabobanker met 0 op de balans van hun app...alleen dan niet vanwege de zoveelste storing, maar dan ECHT...
19-12-2023, 19:48 door Rubbertje
Door Anoniem: En de VS doet dat niet?

Tuurlijk niet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.