JetBrains TeamCity 服务器遭 SolarWinds 黑客攻击

关键要点

• 恶意攻击者利用 JetBrains TeamCity 关键漏洞进行无授权访问和任意代码执行。
• CozyBear 黑客组织自 9 月以来一直在使用该漏洞，全球有 30,000 多个客户受到影响。
• 政府官员警告，攻击者可能会通过访问 TeamCity 服务器获取软件源代码和其他敏感信息。
• JetBrains 已推出安全补丁，建议用户尽快更新。

据政府官员警告，SolarWinds 黑客正在通过一个关键漏洞侵犯 JetBrains TeamCity服务器，导致授权绕过和任意代码执行。受俄罗斯外国情报局（SVR）支持的网络攻击者 CozyBear 自 9 月以来已经在利用这一被跟踪为
的漏洞。根据来自
CISA、FBI、NSA 及国际合作伙伴的联合公告，TeamCity 版本 2023.05.4 于 9 月 18 日发布了补丁。

这个关键漏洞使未经过身份验证的攻击者能够在 TeamCity 服务器上获得管理员访问权限，并在无用户交互的情况下实现远程代码执行，

指出。SonarSource 首先在本地的 TeamCity 服务器上发现了这一缺陷，并于 9 月 26 日公开披露了详细信息。云端实现的 TeamCity并未受到影响。

TeamCity 服务器是很多软件公司用来管理和自动化软件开发过程（如构建、测试和发布）的持续集成与持续部署（CI/CD）服务器。

有超过 30,000 名 JetBrains 客户使用 TeamCity 服务器，当该漏洞被发现时，超过 3,000个本地服务器直接暴露于互联网，SonarSource 表示。

“如果被攻陷，攻击者将能够获取软件开发者的源代码、签名证书，并能破坏软件编译和部署流程 ——
这些访问权限可能进一步被用于进行供应链操作，”根据政府公告的说法。

CozyBear 黑客利用 JetBrains 安全漏洞入侵多家公司

受俄国支持的网络黑帮 ，在 2020 年进行过大规模的
，目前已通过利用 JetBrainsTeamCity 漏洞攻击了数十家公司和超过 100 台设备。美国、欧洲、亚洲和澳大利亚的公司均受到影响。

联合政府公告中的受害者包括提供账单、财务管理、销售、市场营销、客户关怀、员工监控、医疗设备和视频游戏等软件的公司。攻击者还攻击了大小 IT公司和能源贸易协会。

CozyBear 的活动被发现使用 Mimikatz 工具从 Windows 注册表中窃取凭据，并在被攻陷系统上提升权限。他们还利用
GraphicalProton 后门来外泄敏感信息；此后门使用 OneDrive 和 Dropbox作为命令和控制（C2）渠道，与被攻陷设备通信，并通过将信息存储在随机生成的 BMP 文件中供交换，以避免被检测。

JetBrains
通知客户有关该漏洞的利用，并重申了建议用户更新本地 TeamCity 服务器至
2023.05.4 版本或更高版本。

“截止目前，根据我们的统计，仍然有不到 2% 的 TeamCity
实例在运行未打补丁的软件，我们希望这些实例的拥有者立即进行补丁更新，”JetBrains 安全负责人 Yaroslav Russkih 在周四对 SC
媒体的声明中表示。

SC 媒体也联系了 CISA，后者拒绝评论 CozyBear 如何发现该漏洞进行利用的情况。

一个名为 Shadowserver 的非营利组织，跟踪和分析恶意网络活动，
[在周三表示](https://x.com/Shadowserver/status/173502039792017