Das US Federal Bureau of Investigation (FBI), die US Cybersecurity & Infrastructure Security Agency (CISA), die US National Security Agency (NSA), der polnische Militärabwehrdienst (SKW), CERT Polska (CERT.PL) und das britische National Cyber Security Center (NCSC) berichten, dass APT29 seit September 2023 eine Schwachstelle in JetBrains TeamCity ausnutzt. Bei APT29 handelt es sich um einen Cyberakteur, der dem russischen Auslandsgeheimdienst SVR zugeordnet wird.
Softwareentwickler verwenden die TeamCity-Software, um die Kompilierung, Erstellung, Prüfung und Veröffentlichung von Software zu verwalten und zu automatisieren. Im Falle einer erfolgreichen Kompromittierung eines TeamCity-Servers erlangt der Angreifer Zugriff auf den Quellcode der Softwareentwickler. Darüber hinaus kann er Zertifikate signieren sowie Software-Kompilierungs- und Bereitstellungsprozesse manipulieren. Außerdem kann er dies für die Durchführung von Supply-Chain-Angriffen ausnutzen.
In mehreren Fällen konnte nach einem erfolgreichem Angriff Privilege Escalation, Lateral Movement, die Installation weiterer Backdoors sowie die Anwendung unterschiedlicher Methoden, um einen dauerhaften Zugang für den Angreifer zu gewährleisten, beobachtet werden.
Einen ausführlichen Bericht der CISA über die Ausnutzung der Schwachstelle durch APT29 sowie Indicators of Compromise (IoCs)
finden Sie hier auf unserer Cloud. Die Cyberabwehr des Landesamts für
Verfassungsschutz rät daher allen Nutzern von JetBrains TeamCity zur Prüfung der eigenen Systeme und Netze anhand der IoCs.