Protégez vos serveurs : Alerte aux failles de JetBrains TeamCity
Récemment, Microsoft a émis un avertissement au sujet d'une faille dans TeamCity de faille JetBrains TeamCity exploitée par des acteurs nord-coréens. Ces attaques, liées au tristement célèbre Lazarus Group, représentent un risque important pour les serveurs. Dans cet article, nous allons explorer les détails de cette menace et, plus important encore, vous fournir des mesures concrètes pour protéger vos serveurs des des brèches potentielles.
Comprendre la faille de JetBrains TeamCity
Le rapport de Microsoft révèle que des acteurs nord-coréens, en particulier Diamond Sleet (également connu sous le nom de Labyrinth Chollima) et Onyx Sleet (alias Andariel ou Silent Chollima), exploitent activement une faille de sécurité critique connue sous le nom de CVE-2023-42793. Cette vulnérabilité a un score CVSS (Common Vulnerability Scoring System) élevé de 9,8, ce qui indique sa gravité.
Diamond Sleet et Onyx Sleet font tous deux partie du Lazarus Group, un célèbre acteur étatique nord-coréen connu pour ses cyber-attaques persistantes et sophistiquées. Ces acteurs tirent parti de la vulnérabilité de JetBrains TeamCity pour s'introduire dans des serveurs vulnérables, mettant ainsi les entreprises en danger.
Deux voies d'attaque
Ces acteurs de la menace utilisent deux voies d'attaque, chacune ayant une approche distincte. Il est essentiel de comprendre ces voies pour mieux défendre vos serveurs.
L'approche de Diamond Sleet
Dans la première voie d'attaque utilisée par Diamond Sleet, l'acteur de la menace réussit à compromettre les serveurs TeamCity. À la suite de cette intrusion, il déploie un implant connu appelé ForestTiger. Ce qui est particulièrement alarmant, c'est que cet implant est chargé à partir d'une infrastructure légitime que l'acteur de la menace a précédemment compromise. Cette technique rend plus difficile la détection de l'intrusion, ce qui fait que la faille TeamCity de JetBrains peut s'avérer extrêmement préjudiciable. De ce fait, la faille JetBrains TeamCity peut s'avérer extrêmement préjudiciable.
La deuxième variante des attaques de Diamond Sleet est tout aussi préoccupante. Elle implique la récupération d'une DLL malveillante (DSROLE.dll, également connue sous le nom de RollSling ou Version.dll ou FeedLoad). Cette DLL est chargée à l'aide d'une technique connue sous le nom de "DLL search-order hijacking" (détournement de l'ordre de recherche des DLL). Cela permet à l'auteur de la menace d'exécuter une charge utile à l'étape suivante ou de déployer un cheval de Troie d'accès à distance (RAT). Microsoft a observé des cas où les auteurs de la menace combinaient des outils et des techniques provenant des deux séquences d'attaque, ce qui les rendait encore plus redoutables.
Stratégie d'Onyx Sleet
Onyx Sleet adopte une approche différente. Après avoir exploité le correctif de correctif JetBrains TeamCitycet acteur de la menace crée un nouveau compte utilisateur nommé "krtbgt". Ce compte est probablement destiné à usurper l'identité du Kerberos Ticket Granting Ticket. Pour aggraver les choses, l'acteur de la menace ajoute ce compte au groupe des administrateurs locaux à l'aide de la commande "net use".
Une fois cette étape franchie, l'acteur de la menace exécute des commandes de découverte du système sur les systèmes compromis. Cela conduit au déploiement d'un outil proxy personnalisé appelé "HazyLoad". Cet outil établit une connexion persistante entre le serveur compromis et l'infrastructure de l'attaquant.
Une autre action post-compromission préoccupante est l'utilisation du compte "krtbgt" contrôlé par l'attaquant pour se connecter via le protocole de bureau à distance (RDP) et mettre fin au service TeamCity. Cette action a pour but d'empêcher l'accès à d'autres acteurs de la menace, ce qui souligne la nature avancée et agressive de ces attaques.
L'histoire notoire du Lazarus Group
Au fil des ans, le Lazarus Group s'est fait connaître comme l'un des groupes de menaces persistantes avancées (APT) les plus pernicieux et les plus sophistiqués au monde. Il a orchestré un large éventail d'attaques, y compris des crimes financiers et des actes d'espionnage. Ces attaques comprennent des vols de crypto-monnaie et des violations de la chaîne d'approvisionnement, les fonds volés étant souvent utilisés pour financer leur programme de missiles et d'autres activités.
La conseillère adjointe à la sécurité nationale des États-Unis, Anne Neuberger, a souligné l'implication du groupe dans le piratage d'infrastructures de crypto-monnaies dans le monde entier, ce qui met encore plus en évidence le motif financier de leurs actions.
Constatations d'AhnLab
L'AhnLab Security Emergency Response Center (ASEC) a également détaillé l'utilisation par le Lazarus Group de familles de logiciels malveillants tels que Volgmer et Scout, qui servent de portes dérobées pour contrôler les systèmes infectés. Le Lazarus Group utilise divers vecteurs d'attaque, notamment le spear-phishing et les attaques de la chaîne d'approvisionnement. Ces tactiques ont été associées à une autre campagne dont le nom de code est "Operation Dream Magic", qui implique des attaques de type "watering hole" pour exploiter les failles de sécurité de produits comme INISAFE et MagicLine.
Sécuriser JetBrains TeamCity
Voyons maintenant ce que vous pouvez faire pour protéger vos serveurs contre ces pirates exploitant les vulnérabilités de TeamCity. Microsoft a fourni une série de mesures d'atténuation recommandées :
- Appliquer les mises à jour de JetBrains : Veillez à appliquer les mises à jour ou les mesures d'atténuation publiées par JetBrains pour remédier à la vulnérabilité CVE-2023-42793. La mise à jour de vos logiciels est une étape fondamentale dans la réduction du risque d'exploitation.
- Règle de réduction de la surface d'attaque : Activez la règle "Bloquer l'exécution des fichiers exécutables sauf s'ils répondent à un critère de prévalence, d'âge ou de liste de confiance" pour renforcer la sécurité de votre serveur.
- Étudier les indicateurs de compromission (IoC) : Utilisez les indicateurs de compromission fournis pour vérifier s'ils existent dans votre environnement. Cette étape peut vous aider à évaluer une intrusion potentielle et à prendre des mesures correctives.
- Bloquer le trafic entrant : Envisagez de bloquer le trafic entrant à partir des adresses IP spécifiées dans le tableau IoC. Cette mesure proactive peut contribuer à empêcher l'accès non autorisé à vos serveurs.
- Mode de recherche de DLL sécurisé : Assurez-vous que le mode de recherche "Mode de recherche sécurisé des DLL"est activé. Cela permet de prévenir les vulnérabilités liées aux DLL.
- Action immédiate : Si vous soupçonnez une activité malveillante sur votre serveur, prenez des mesures immédiates. Isolez le système compromis et réinitialisez les informations d'identification et les jetons. C'est essentiel pour reprendre le contrôle et minimiser les dommages potentiels.
- Utiliser Microsoft Defender Antivirus : Activez Microsoft Defender Antivirus avec une protection fournie par le cloud et la soumission automatique d'échantillons. Ces fonctionnalités avancées utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues.
- Recherche de mouvements latéraux : Examinez la chronologie de l'appareil à la recherche de signes d'activités de déplacement latéral à l'aide de comptes compromis. Recherchez les outils supplémentaires que les attaquants ont pu laisser derrière eux pour permettre d'autres accès non autorisés.
Conclusion
La menace posée par les pirates nord-coréens qui exploitent la faille de sécurité de problème de sécurité TeamCity est grave et nécessite une attention immédiate. En comprenant les méthodes d'attaque, en mettant en œuvre les mesures d'atténuation recommandées et en adoptant des mesures de cybersécurité robustesvous pouvez réduire de manière significative le risque pour vos serveurs. La cybersécurité est un combat permanent, et rester vigilant et préparé est la clé pour protéger vos biens précieux contre les cybermenaces.
Les sources de cet article comprennent des articles dans The Hacker News et Security Affairs.