CERT Polska oraz Służba Kontrwywiadu Wojskowego: jeśli zignorowaliście CVE-2023-42793 (RCE w JetBrains TeamCity) – załóżcie że mogliście zostać zhackowani przez rosyjski wywiad

Jak czytamy w oświadczeniu:

Agencje stojące za publikacją rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji, założyły, że SVR [Rosyjska Służba Wywiadu Zagranicznego] mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o zawarte w tym raporcie IoC.

Załatana już podatność CVE-2023-42793 umożliwia nieuwierzytelnione wykonanie kodu w serwerze TeamCity:

JetBrains TeamCity CVE-2023-42793 – allows unauthenticated attackers to execute arbitrary code on the TeamCity server (remote code execution, RCE).

Luka jest dość prosta do wykorzystana, bo cały exploit to praktycznie jedna linijka:

POST /app/rest/users/<userLocator>/tokens/RPC2

Takie żądanie tworzy authentication token (dzięki któremu możliwe jest zalogowanie bez hasła) – dowolnemu użytkownikowi. Czym jest <userLocator>? Prostym identyfikatorem użytkownika – dla przykładu id:1 to domyślny admin.

Efekt skutecznego ataku wygląda np. tak:

Mając uprawnienia admina można już prosto wykonać kod w OS.

Co może oznaczać całość dla firm które nie używają wspomnianego w newsie produktu?

Oprogramowanie JetBrains TeamCity jest używane do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania. Dostęp do serwera TeamCity może umożliwić dostęp do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania.

Czyli przykładowo otrzymujemy aktualizację oprogramowania. Aktualizację zainfekowaną rosyjskim malware.

~ms