One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8426379 |
| Date de publication | 2023-12-20 21:21:37 (vue: 2023-12-20 22:08:15) |
| Titre | Russian Foreign Intelligence Service (SVR) exploitant JetBrains TeamCity Cve dans le monde entier Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally |
| Texte | #### Description
Russian Foreign Intelligence Service (SVR) Cyber Actors - également connu sous le nom de menace persistante avancée 29 (APT 29), The Dukes, Cozybear et Nobelium / Midnight Blizzard-est exploitant CVE-2023-42793 à grande échelle, ciblant les serveurs hébergeant JetBrains TeamCityLogiciel depuis septembre 2023.
Les développeurs de logiciels utilisent TeamCity Software pour gérer et automatiser la compilation de logiciels, la construction, les tests et la libération.S'il est compromis, l'accès à un serveur TeamCity offrirait aux acteurs malveillants un accès au code source de ce développeur de logiciels, à la signature des certificats et à la possibilité de sous-publier des processus de compilation et de déploiement des logiciels - Accéder à un acteur malveillant pourrait utiliser davantage pour effectuer une chaîne d'approvisionnementopérations.Bien que le SVR ait utilisé un tel accès pour compromettre Solarwinds et ses clients en 2020, un nombre limité et des types de victimes apparemment opportunistes actuellement identifiés, indiquent que le SVR n'a pas utilisé l'accès accordé par TeamCity CVE d'une manière similaire.Le SVR a cependant été observé en utilisant l'accès initial glané en exploitant le CVE de TeamCity pour augmenter ses privilèges, se déplacer latéralement, déployer des délais supplémentaires et prendre d'autres mesures pour garantir un accès persistant et à long terme aux environnements réseau compromis.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
#### Date de publication
12 décembre 2023
#### Auteurs)
Cisa
#### Description Russian Foreign Intelligence Service (SVR) cyber actors-also known as Advanced Persistent Threat 29 (APT 29), the Dukes, CozyBear, and NOBELIUM/Midnight Blizzard-are exploiting CVE-2023-42793 at a large scale, targeting servers hosting JetBrains TeamCity software since September 2023. Software developers use TeamCity software to manage and automate software compilation, building, testing, and releasing. If compromised, access to a TeamCity server would provide malicious actors with access to that software developer\'s source code, signing certificates, and the ability to subvert software compilation and deployment processes-access a malicious actor could further use to conduct supply chain operations. Although the SVR used such access to compromise SolarWinds and its customers in 2020, limited number and seemingly opportunistic types of victims currently identified, indicate that the SVR has not used the access afforded by the TeamCity CVE in a similar manner. The SVR has, however, been observed using the initial access gleaned by exploiting the TeamCity CVE to escalate its privileges, move laterally, deploy additional backdoors, and take other steps to ensure persistent and long-term access to the compromised network environments. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a #### Publication Date December 12, 2023 #### Author(s) CISA |
| Envoyé | Oui |
| Condensat | #### 2020 2023 347a 42793 ability access actor actors additional advanced advisories/aa23 afforded also although apt are author automate backdoors been blizzard building certificates chain cisa code compilation compromise compromised conduct could cozybear currently customers cve cyber date december deploy deployment description developer developers dukes ensure environments escalate events/cybersecurity exploiting foreign further gleaned globally gov/news has hosting however https://www identified indicate initial intelligence its jetbrains known large laterally limited long malicious manage manner move network nobelium/midnight not number observed operations opportunistic other persistent privileges processes provide publication reference releasing russian scale seemingly september server servers service signing similar since software solarwinds source steps subvert such supply svr take targeting teamcity term testing threat types url use used using victims would |
| Tags | Threat |
| Stories | APT 29 |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.