ClickCease Schützen Sie Ihre Server: JetBrains TeamCity-Fehlerwarnung

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Schützen Sie Ihre Server: JetBrains TeamCity-Fehlerwarnung

von Wajahat Raja

Oktober 30, 2023 - TuxCare-Expertenteam

In den letzten Tagen hat Microsoft eine Warnung über eine JetBrains TeamCity-Schwachstelle die von nordkoreanischen Bedrohungsakteuren ausgenutzt wird. Diese Angriffe, die mit der berüchtigten Lazarus-Gruppe in Verbindung stehen, stellen ein erhebliches Risiko für Server dar. In diesem Artikel gehen wir auf die Einzelheiten dieser Bedrohung ein und, was noch wichtiger ist, wir geben Ihnen praktische Schritte an die Hand, mit denen Sie Ihre Server schützen können vor potenziellen Angriffen.

 

Verstehen des JetBrains TeamCity-Fehlers


Der Bericht von Microsoft zeigt, dass nordkoreanische Bedrohungsakteure, insbesondere Diamond Sleet (auch bekannt als Labyrinth Chollima) und Onyx Sleet (auch bekannt als Andariel oder Silent Chollima), aktiv eine kritische Sicherheitslücke ausnutzen, die als
CVE-2023-42793. Diese Sicherheitslücke hat einen hohen CVSS-Wert (Common Vulnerability Scoring System) von 9,8, was auf ihre Schwere hinweist.

Sowohl Diamond Sleet als auch Onyx Sleet gehören zur Lazarus Group, einem berüchtigten nordkoreanischen Akteur, der für seine hartnäckigen und ausgeklügelten Cyberangriffe bekannt ist. Diese Bedrohungsakteure machen sich die Sicherheitslücke in JetBrains TeamCity aus, um in anfällige Server einzudringen und so Unternehmen zu gefährden.


Zwei Angriffswege


Es gibt zwei Angriffswege, die von diesen Bedrohungsakteuren genutzt werden, wobei jeder seinen eigenen Ansatz hat. Es ist wichtig, diese Wege zu verstehen, um Ihre Server besser zu schützen.

 

Der Ansatz von Diamond Sleet


Beim ersten von Diamond Sleet genutzten Angriffspfad kompromittiert der Angreifer erfolgreich die TeamCity-Server. Nach diesem Einbruch wird ein bekanntes Implantat namens ForestTiger eingesetzt. Besonders besorgniserregend ist, dass dieses Implantat von einer legitimen Infrastruktur geladen wird, die der Angreifer zuvor kompromittiert hat. Diese Technik erschwert die Entdeckung des Eindringens, weshalb sich JetBrains TeamCity-Schwachstelle als äußerst gefährlich erweisen kann. Aus diesem Grund kann sich die JetBrains TeamCity-Schwachstelle als äußerst schädlich erweisen.

Die zweite Variante der Angriffe von Diamond Sleet ist ebenso besorgniserregend. Sie beinhaltet den Abruf einer bösartigen DLL (DSROLE.dll, auch bekannt als RollSling oder Version.dll oder FeedLoad). Diese DLL wird mit einer Technik geladen, die als DLL-Suchreihenfolge-Hijacking bekannt ist. Dadurch kann der Bedrohungsakteur eine weitere Nutzlast ausführen oder einen Fernzugriffstrojaner (RAT) einsetzen. Microsoft hat Fälle beobachtet, in denen die Bedrohungsakteure Tools und Techniken aus beiden Angriffssequenzen kombiniert haben, wodurch sie noch gefährlicher wurden.


Onyx Sleet's Strategie


Onyx Sleet verfolgt einen anderen Ansatz. Nach der Ausnutzung des
JetBrains TeamCity-Patcherstellt dieser Bedrohungsakteur ein neues Benutzerkonto namens "krtbgt". Dieses Konto dient wahrscheinlich dazu, das Kerberos Ticket Granting Ticket zu imitieren. Um die Sache noch schlimmer zu machen, fügt der Bedrohungsakteur dieses Konto mit dem Befehl "net use" zur Gruppe der lokalen Administratoren hinzu.

Sobald dies geschehen ist, führt der Bedrohungsakteur Systemerkennungsbefehle auf den kompromittierten Systemen aus. Dies führt zur Bereitstellung eines benutzerdefinierten Proxy-Tools namens "HazyLoad". Dieses Tool stellt eine dauerhafte Verbindung zwischen dem kompromittierten Server und der Infrastruktur des Angreifers her.

Eine weitere besorgniserregende Aktion nach der Kompromittierung ist die Verwendung des vom Angreifer kontrollierten Kontos "krtbgt", um sich über das Remote-Desktop-Protokoll (RDP) anzumelden und den TeamCity-Dienst zu beenden. Dies geschieht, um den Zugriff durch andere Bedrohungsakteure zu verhindern, was die fortgeschrittene und aggressive Natur dieser Angriffe unterstreicht.

 

Die berüchtigte Geschichte der Lazarus-Gruppe


Im Laufe der Jahre hat die
Lazarus-Gruppe als eine der bösartigsten und raffiniertesten APT-Gruppen (Advanced Persistent Threats) weltweit bekannt geworden. Sie haben ein breites Spektrum an Angriffen durchgeführt, darunter Finanzkriminalität und Spionage. Diese Angriffe umfassen Raubüberfälle auf Kryptowährungen und Verstöße gegen die Lieferkette, wobei die gestohlenen Gelder häufig zur Finanzierung ihres Raketenprogramms und anderer Aktivitäten verwendet werden.

Die stellvertretende nationale Sicherheitsberaterin der USA, Anne Neuberger, hob die Beteiligung der Gruppe am Hacken von Kryptowährungsinfrastrukturen auf der ganzen Welt hervor, was das finanzielle Motiv hinter ihren Aktionen weiter unterstreicht.


Die Ergebnisse von AhnLab


Das AhnLab Security Emergency Response Center (ASEC) hat auch die Verwendung von Malware-Familien wie Volgmer und Scout durch die Lazarus Group beschrieben, die als Hintertüren zur Kontrolle infizierter Systeme dienen. Die Lazarus Group setzt verschiedene Angriffsvektoren ein, darunter Spear-Phishing und Angriffe über die Lieferkette. Diese Taktiken wurden mit einer anderen Kampagne mit dem Codenamen "Operation Dream Magic" in Verbindung gebracht, die Watering-Hole-Angriffe zur Ausnutzung von Sicherheitslücken in Produkten wie INISAFE und MagicLine beinhaltet.

 

Absicherung von JetBrains TeamCity


Jetzt wollen wir uns darauf konzentrieren, was Sie tun können, um Ihre Server vor diesen Hackern zu schützen
Ausnutzung von TeamCity-Schwachstellen. Microsoft hat eine Reihe von empfohlenen Abhilfemaßnahmen bereitgestellt:

 

  1. Wenden Sie JetBrains-Updates an: Stellen Sie sicher, dass Sie die von JetBrains veröffentlichten Updates oder Abhilfemaßnahmen zur Behebung der Sicherheitslücke CVE-2023-42793 anwenden. Ihre Software auf dem neuesten Stand zu halten, ist ein grundlegender Schritt, um das Risiko eines Angriffs zu verringern.
  2. Regel zur Verringerung der Angriffsfläche: Aktivieren Sie die Regel "Ausführbare Dateien nur dann ausführen, wenn sie ein Prävalenz-, Alters- oder Vertrauenslistenkriterium erfüllen", um die Sicherheit Ihres Servers weiter zu erhöhen.
  3. Untersuchen Sie Indikatoren für eine Kompromittierung (IoC): Untersuchen Sie anhand der bereitgestellten Kompromittierungsindikatoren, ob diese in Ihrer Umgebung vorhanden sind. Dieser Schritt kann Ihnen helfen, ein mögliches Eindringen zu bewerten und Korrekturmaßnahmen zu ergreifen.
  4. Eingehenden Verkehr blockieren: Ziehen Sie in Erwägung, den eingehenden Datenverkehr von den in der IoC-Tabelle angegebenen IP-Adressen zu blockieren. Diese proaktive Maßnahme kann dazu beitragen, unbefugten Zugriff auf Ihre Server zu verhindern.
  5. Sicherer DLL-Suchmodus: Stellen Sie sicher, dass "Sicherer DLL-Suchmodus" eingestellt ist. Dies hilft bei der Vermeidung von DLL-bezogenen Schwachstellen.
  6. Sofortige Maßnahmen: Wenn Sie bösartige Aktivitäten auf Ihrem Server vermuten, ergreifen Sie sofortige Maßnahmen. Isolieren Sie das angegriffene System und setzen Sie Anmeldedaten und Token zurück. Dies ist entscheidend, um die Kontrolle wiederzuerlangen und den potenziellen Schaden zu minimieren.
  7. Verwenden Sie Microsoft Defender Antivirus: Aktivieren Sie Microsoft Defender Antivirus mit Schutz aus der Cloud und automatischer Probenübermittlung. Diese erweiterten Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen.
  8. Untersuchen Sie auf seitliche Bewegungen: Untersuchen Sie die Zeitleiste des Geräts auf Anzeichen von Seitwärtsbewegungen mit kompromittierten Konten. Suchen Sie nach zusätzlichen Tools, die Angreifer möglicherweise zurückgelassen haben, um weiteren unbefugten Zugriff zu ermöglichen.

Schlussfolgerung


Die von nordkoreanischen Hackern ausgehende Bedrohung, die die
TeamCity-Sicherheitslücke ist ernst und erfordert sofortige Aufmerksamkeit. Durch das Verständnis der Angriffsmethoden, die Umsetzung der empfohlenen Abhilfemaßnahmen und die Einführung von robuste Cybersicherheitsmaßnahmenkönnen Sie das Risiko für Ihre Server erheblich verringern. Cybersicherheit ist ein ständiger Kampf, und Wachsamkeit und Vorbereitung sind der Schlüssel zum Schutz Ihrer wertvollen Ressourcen vor Cyberbedrohungen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.

 

Zusammenfassung
Schützen Sie Ihre Server: JetBrains TeamCity-Fehlerwarnung
Artikel Name
Schützen Sie Ihre Server: JetBrains TeamCity-Fehlerwarnung
Beschreibung
Erfahren Sie, wie Sie sich gegen die Ausnutzung der JetBrains TeamCity-Schwachstelle durch nordkoreanische Hacker schützen können. Bleiben Sie sicher!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!