jetbrains-teamcity

# Atores que Exploram JetBrains TeamCity > [!warning] Campanha Multi-Ator — CVE-2023-42793 > Múltiplos grupos APT — incluindo **APT29** (Rússia/SVR) e **Lazarus Group** (Coreia do Norte) — exploraram o CVE-2023-42793 no JetBrains TeamCity para comprometer pipelines de CI/CD e cadeia de suprimentos de software. O CISA emitiu advisory conjunto sobre a campanha em dezembro de 2023. ## Visão Geral O CVE-2023-42793 é uma vulnerabilidade crítica de bypass de autenticação no JetBrains TeamCity (CVSS 9.8), divulgada em setembro de 2023. O TeamCity é uma plataforma de CI/CD amplamente utilizada por empresas de desenvolvimento de software, tornando-a um alvo estratégico para atores de ameaça interessados em comprometimento de cadeia de suprimentos de software. Múltiplos grupos APT rapidamente incorporaram a exploração do CVE-2023-42793 em suas campanhas: - **APT29 (Nobelium/Midnight Blizzard)**: O SVR russo explorou a vulnerabilidade para comprometer organizações de desenvolvimento de software e potencialmente inserir backdoors em pipelines de build — continuação da estratégia SolarWinds. - **Lazarus Group / Diamond Sleet**: A Coreia do Norte explorou a mesma vulnerabilidade para deploy de backdoors customizados (ForestTiger, SnowFlake) em sistemas de build de empresas de software. - **Grupos de ransomware**: Atores criminosos não atribuídos a estado também exploraram a vulnerabilidade para acesso a ambientes corporativos via servidores TeamCity expostos. O impacto potencial de comprometimento de um servidor TeamCity é severo: acesso a código-fonte, segredos de deployment, credenciais de produção e a capacidade de injetar código malicioso no pipeline de build antes da distribuição. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nShodan: TeamCity exposto] --> B[Exploração\nCVE-2023-42793\nAuth Bypass — sem credenciais] B --> C[Acesso Total\nAdmin no TeamCity\nAPI tokens] C --> D[Pipeline Access\nAcesso a builds\nSegredos e credenciais] D --> E[Bifurcação\nBackdoor supply chain\nAcesso rede interna] E --> F[Impacto\nCompromisso de software\nEspionagem / Ransomware] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Aplicação Pública | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-42793 auth bypass TeamCity | | Supply Chain | [[t1195-supply-chain-compromise\|T1195]] | Inserção de código malicioso em builds | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Tokens de admin criados pós-exploração | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, bash nos agentes de build | ## Detecção e Defesa - Atualizar imediatamente TeamCity para versão 2023.05.4 ou 2023.11.1+ - Verificar criação de contas admin suspeitas no período setembro-dezembro 2023 - Auditar todos os build scripts por código malicioso injetado - Isolar servidores TeamCity de acesso público à internet - Monitorar [[ds0009-process|DS0009]] para execução de processos anômalos nos agentes de build ## Referências - CISA/FBI Advisory AA23-347A: APT29 TeamCity CVE-2023-42793 (2023) - JetBrains Security Advisory: CVE-2023-42793 (2023) - Microsoft MSTIC: Diamond Sleet / Lazarus TeamCity exploitation (2023) - SentinelOne: Multiple APTs exploiting TeamCity auth bypass (2023) - CISA KEV: CVE-2023-42793 adicionado em outubro 2023