Una vulnerabilidad crítica en JetBrains TeamCity, identificada como CVE-2023-42793, está siendo explotada por dos grupos de amenazas respaldados por estados nacionales, incluido el actor ruso de amenaza persistente avanzada (APT) conocido como Cozy Bear. A pesar de que la vulnerabilidad fue divulgada y parcheada en septiembre, la explotación generalizada comenzó a finales de septiembre, comprometiendo a empresas en EE. UU., Europa, Asia y Australia.
La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE. UU. (CISA) emitió un aviso gubernamental conjunto, coautorizado con el FBI, la NSA, el Servicio de Contrainteligencia Militar de Polonia, CERT Polska y el Centro Nacional de Ciberseguridad del Reino Unido, advirtiendo a los usuarios sobre esta explotación. Este aviso sigue a un informe anterior que indicaba que actores de amenazas de Corea del Norte también estaban explotando esta vulnerabilidad.
Ambos grupos estatales, después de obtener acceso a través de la vulnerabilidad de autenticación del servidor TeamCity, desplegaron puertas traseras para mantener la persistencia en las redes comprometidas. El aviso destaca la amenaza persistente que representan las operaciones patrocinadas por el estado ruso para las redes de organizaciones públicas y privadas a nivel mundial.
Cozy Bear, también conocido como APT29 y Nobelium/Midnight Blizzard, está vinculado al Servicio de Inteligencia Exterior de Rusia (SVR) y es responsable de varios ataques de alto perfil, incluida la violación de SolarWinds en 2020 que afectó a agencias gubernamentales federales de EE. UU.
Desde septiembre, Cozy Bear ha comprometido a varias decenas de empresas, y se han identificado más de 100 dispositivos comprometidos. El número real de organizaciones afectadas probablemente sea mayor. Las víctimas incluyen una asociación comercial de energía y proveedores de software en varios sectores, incluyendo facturación, dispositivos médicos, atención al cliente, monitoreo de empleados, gestión financiera, marketing, ventas y videojuegos. También se han visto afectadas empresas de alojamiento y TI.
Source: TechTarget
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.