ClickCease Proteja sus servidores: Alerta de fallo en JetBrains TeamCity

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Proteja sus servidores: Alerta de fallo en JetBrains TeamCity

Wajahat Raja

30 de octubre de 2023 - Equipo de expertos TuxCare

En noticias recientes, Microsoft ha emitido una advertencia sobre un fallo de JetBrains TeamCity que está siendo explotado por actores de amenazas norcoreanos. Estos ataques, vinculados al infame Grupo Lazarus, suponen un riesgo significativo para los servidores. En este artículo, exploraremos los detalles de esta amenaza y, lo que es más importante, le proporcionaremos medidas prácticas para proteger sus servidores de posibles violaciones.

 

Entender el fallo de JetBrains TeamCity


El informe de Microsoft revela que los actores de amenazas norcoreanos, concretamente Diamond Sleet (también conocido como Labyrinth Chollima) y Onyx Sleet (también conocido como Andariel o Silent Chollima), están explotando activamente una vulnerabilidad de seguridad crítica conocida como
CVE-2023-42793. Esta vulnerabilidad tiene una alta puntuación CVSS (Common Vulnerability Scoring System) de 9,8, lo que indica su gravedad.

Tanto Diamond Sleet como Onyx Sleet forman parte del Grupo Lazarus, un conocido actor de Corea del Norte conocido por sus ciberataques persistentes y sofisticados. Estos actores de amenazas están aprovechando la vulnerabilidad en JetBrains TeamCity para violar servidores vulnerables, poniendo en riesgo a las empresas.


Dos vías de ataque


Hay dos vías de ataque empleadas por estos actores de amenazas, cada una con su propio enfoque distinto. Es crucial comprender estas vías para defender mejor sus servidores.

 

Enfoque de Diamond Sleet


En la primera ruta de ataque utilizada por Diamond Sleet, el actor de la amenaza consigue comprometer los servidores de TeamCity. Tras esta brecha, despliegan un conocido implante llamado ForestTiger. Lo que resulta especialmente alarmante es que este implante se carga desde una infraestructura legítima que el actor de la amenaza ha comprometido previamente. Esta técnica dificulta la detección de la intrusión, por lo que el fallo de JetBrains TeamCity puede resultar extremadamente dañino. Debido a esto, el fallo de JetBrains TeamCity puede resultar extremadamente dañino.

La segunda variante de los ataques de Diamond Sleet es igualmente preocupante. Implica la recuperación de una DLL maliciosa (DSROLE.dll, también conocida como RollSling o Version.dll o FeedLoad). Esta DLL se carga utilizando una técnica conocida como secuestro del orden de búsqueda de DLL. Esto permite al actor de la amenaza ejecutar una carga útil de siguiente etapa o desplegar un troyano de acceso remoto (RAT). Microsoft ha observado casos en los que los autores de las amenazas combinan herramientas y técnicas de ambas secuencias de ataque, lo que las hace aún más formidables.


Estrategia de Onyx Sleet


Onyx Sleet adopta un enfoque diferente. Después de explotar el parche
parche de JetBrains TeamCityeste actor de amenazas crea una nueva cuenta de usuario llamada "krtbgt". Es probable que esta cuenta pretenda suplantar al Ticket Granting Ticket de Kerberos. Para empeorar las cosas, el actor de la amenaza añade esta cuenta al grupo de administradores locales utilizando el comando "net use".

Una vez hecho esto, el actor de la amenaza ejecuta comandos de descubrimiento del sistema en los sistemas comprometidos. Esto lleva al despliegue de una herramienta proxy personalizada llamada "HazyLoad". Esta herramienta establece una conexión persistente entre el servidor comprometido y la infraestructura del atacante.

Otra acción preocupante tras la vulneración es el uso de la cuenta "krtbgt" controlada por el atacante para iniciar sesión a través del protocolo de escritorio remoto (RDP) y terminar el servicio TeamCity. Esto se hace para impedir el acceso de otros actores de la amenaza, lo que pone de relieve la naturaleza avanzada y agresiva de estos ataques.

 

La tristemente célebre historia del Grupo Lazarus


A lo largo de los años, el
Grupo Lazarus ha adquirido notoriedad como uno de los grupos de amenazas persistentes avanzadas (APT) más perniciosos y sofisticados a escala mundial. Han orquestado una amplia gama de ataques, incluidos delitos financieros y espionaje. Estos ataques abarcan robos de criptomoneda y violaciones de la cadena de suministro, y los fondos robados se utilizan a menudo para financiar su programa de misiles y otras actividades.

La viceconsejera de Seguridad Nacional de Estados Unidos, Anne Neuberger, destacó la implicación del grupo en el pirateo de infraestructuras de criptomoneda en todo el mundo, lo que subraya aún más el móvil financiero de sus acciones.


Conclusiones de AhnLab


AhnLab Security Emergency Response Center (ASEC) también ha detallado el uso por parte del Grupo Lazarus de familias de malware como Volgmer y Scout que sirven como puertas traseras para controlar los sistemas infectados. El Grupo Lazarus emplea varios vectores de ataque, como el spear-phishing y los ataques a la cadena de suministro. Estas tácticas se han asociado a otra campaña cuyo nombre en clave es "Operación Dream Magic", que consiste en ataques de tipo watering hole para explotar fallos de seguridad en productos como INISAFE y MagicLine.

 

Protección de JetBrains TeamCity


Ahora, centrémonos en lo que puede hacer para proteger sus servidores de estos hackers
explotando las vulnerabilidades de TeamCity. Microsoft ha proporcionado un conjunto de acciones de mitigación recomendadas:

 

  1. Aplique las actualizaciones de JetBrains: Asegúrese de aplicar las actualizaciones o mitigaciones publicadas por JetBrains para abordar la vulnerabilidad CVE-2023-42793. Mantener el software actualizado es un paso fundamental para reducir el riesgo de explotación.
  2. Regla de reducción de la superficie de ataque: Active la regla "Bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza" para mejorar aún más la seguridad de su servidor.
  3. Investigue los Indicadores de Compromiso (IoC): Utilice los indicadores de compromiso proporcionados para investigar si existen en su entorno. Este paso puede ayudarle a evaluar una posible intrusión y a tomar medidas correctivas.
  4. Bloquear el tráfico entrante: Considere bloquear el tráfico entrante desde las direcciones IP especificadas en la tabla IoC. Esta medida proactiva puede ayudar a evitar el acceso no autorizado a sus servidores.
  5. Modo de búsqueda segura de DLL: Asegúrese de que "Modo de búsqueda segura de DLL"esté activado. Esto ayuda a evitar vulnerabilidades relacionadas con DLL.
  6. Acción inmediata: Si sospecha de actividad maliciosa en su servidor, actúe de inmediato. Aísle el sistema comprometido y restablezca las credenciales y los tokens. Esto es crucial para recuperar el control y minimizar los daños potenciales.
  7. Utilice Microsoft Defender Antivirus: Habilite Microsoft Defender Antivirus con protección entregada en la nube y envío automático de muestras. Estas funciones avanzadas utilizan inteligencia artificial y aprendizaje automático para identificar y detener rápidamente amenazas nuevas y desconocidas.
  8. Investigue los movimientos laterales: Examine la línea de tiempo del dispositivo en busca de signos de actividades de movimiento lateral utilizando cuentas comprometidas. Busque herramientas adicionales que los atacantes puedan haber dejado para permitir nuevos accesos no autorizados.

Conclusión


La amenaza que suponen los hackers norcoreanos que explotan el
problema de seguridad de TeamCity es grave y requiere atención inmediata. Comprendiendo los métodos de ataque, aplicando las medidas de mitigación recomendadas y adoptando medidas robustas de ciberseguridadpuede reducir significativamente el riesgo para sus servidores. La ciberseguridad es una batalla constante, y mantenerse alerta y preparado es la clave para proteger sus valiosos activos de las amenazas cibernéticas.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

 

Resumen
Proteja sus servidores: Alerta de fallo en JetBrains TeamCity
Nombre del artículo
Proteja sus servidores: Alerta de fallo en JetBrains TeamCity
Descripción
Aprenda a defenderse de los fallos de JetBrains TeamCity que aprovechan los hackers norcoreanos. ¡Manténgase seguro!
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín