CISA et les agences de cybersécurité et services de renseignement partenaires ont averti que le groupe de piratage APT29 lié au Service de renseignement extérieur russe (SVR) ciblait les serveurs TeamCity non corrigés lors d’attaques généralisées depuis septembre 2023.

APT29 est connu pour avoir violé plusieurs agences fédérales américaines à la suite de l’attaque de la chaîne d’approvisionnement SolarWinds qu’elles ont orchestrée il y a trois ans.

Ils ont également ciblé les comptes Microsoft 365 de plusieurs entités au sein des pays de l’OTAN dans le cadre de leurs efforts pour accéder à des informations liées à la politique étrangère et ont été liés à une série de campagnes de phishing visant des gouvernements, des ambassades et des hauts fonctionnaires à travers l’Europe.

La faille de sécurité TeamCity qu’ils exploitent dans ces attaques est identifiée comme CVE-2023-42793 et évaluée avec un score de gravité critique de 9,8/10, que les auteurs de menaces non authentifiés peuvent exploiter dans des attaques d’exécution de code à distance (RCE) de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.

« En choisissant d’exploiter CVE-2023-42793, un programme de développement logiciel, les agences auteurs estiment que le SVR pourrait bénéficier d’un accès aux victimes, notamment en permettant aux acteurs de la menace de compromettre les réseaux de dizaines de développeurs de logiciels », a averti CISA aujourd’hui.

« Le SVR a cependant été observé en utilisant l’accès initial glané en exploitant le CVE TeamCity pour augmenter ses privilèges, se déplacer latéralement, déployer des portes dérobées supplémentaires et prendre d’autres mesures pour garantir un accès persistant et à long terme aux environnements réseau compromis.

« Bien que les agences de création évaluent que le SVR n’a pas encore utilisé ses accès aux développeurs de logiciels pour accéder aux réseaux des clients et qu’il en est probablement encore à la phase préparatoire de son fonctionnement, l’accès aux réseaux de ces entreprises offre au SVR des opportunités d’activer une infrastructure de commandement et de contrôle (C2) difficile à détecter. »

Près de 800 serveurs toujours vulnérables aux attaques
Des chercheurs de la société de sécurité suisse Sonar, qui ont découvert et signalé la faille, ont également publié des détails techniques une semaine après que JetBrains a publié TeamCity 2023.05.4 le 21 septembre pour résoudre le problème critique.

« Cela permet aux attaquants non seulement de voler du code source, mais également des secrets de service stockés et des clés privées », a expliqué Sonar.

« Et c’est encore pire: avec l’accès au processus de génération, les attaquants peuvent injecter du code malveillant, compromettant l’intégrité des versions logicielles et affectant tous les utilisateurs en aval. »

Les chercheurs en sécurité de la société de sécurité Internet à but non lucratif Shadowserver Foundation suivent près de 800 serveurs TeamCity non corrigés qui sont vulnérables aux attaques.

Serveurs TeamCity vulnérables

​Également exploité par des gangs de ransomwares et des pirates nord-coréens
Début octobre, plusieurs gangs de ransomwares exploitaient déjà la vulnérabilité pour violer les réseaux d’entreprise, selon les sociétés de renseignement sur les menaces GreyNoise et PRODAFT.

Le bruit gris a détecté des attaques provenant de 56 adresses IP différentes dans le cadre d’efforts coordonnés visant à violer les serveurs TeamCity laissés sans correctif.

Deux jours plus tôt, la société avait également averti qu’il était fort probable que les organisations qui avaient négligé de sécuriser leurs serveurs avant le 29 septembre aient déjà été piratées.

Microsoft a déclaré plus tard que les groupes de piratage soutenus par l’État nord-coréen Lazarus et Andariel pirataient les réseaux des victimes en utilisant les exploits CVE-2023-42793, probablement en préparation d’attaques de la chaîne d’approvisionnement logicielle.

JetBrains affirme que les développeurs utilisent sa plate-forme de création et de test de logiciels TeamCity dans plus de 30 000 organisations à travers le monde, y compris des organisations de premier plan comme Citibank, Ubisoft, HP, Nike et Ferrari.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *