JetBrains TeamCity jetzt patchen: russische Hacker nutzen Schwachstelle aus

Russische SVR-Cyberakteure nutzen CVE-2023-42793, um JetBrains TeamCity-Server anzugreifen. Sie setzen die Schwachstelle ein, um sich unberechtigten Zugriff zu verschaffen, Privilegien zu erhöhen, zusätzliche Backdoors zu installieren und die Kontrolle über die Netzwerke zu sichern. Diese Aktionen zielen darauf ab, dauerhaften Zugang zu kompromittierten Netzwerken zu erhalten und eine breite Palette von Informationen zu sammeln. Zu ihren Taktiken gehören das Deaktivieren von Endpoint Detection und Antivirus-Software sowie die Nutzung verdeckter Kanäle für Befehle und Kontrollen.

Der CVE-2023-42793 ist eine kritische Sicherheitsanfälligkeit in JetBrains TeamCity, die eine Authentifizierungsumgehung ermöglicht und in der Datei “RequestInterceptors.java” lokalisiert ist. Diese Schwachstelle ermöglicht es Angreifern, einen HTTP POST-Request an “/app/rest/users/id:1/tokens/RPC2” zu senden, um ein Zugriffstoken zu erhalten. Von dieser Anfälligkeit sind alle TeamCity-Softwareversionen vor 2023.05.4 betroffen. Die Schwachstelle wurde von JetBrains mittels eines Patches im September 2023 behoben.

Related Posts

Barracuda Email Security Gateway unsicher wegen Perl ParseExcel Schwachstelle

Chinesische Hacker haben eine Zero-Day-Schwachstelle in den Email Security Gateway (ESG) Geräten von Barracuda ausgenutzt, identifiziert als CVE-2023-7102. Diese Schwachstelle befindet sich in der Drittanbieter-Bibliothek Spreadsheet::ParseExcel, die vom Amavis-Scanner im Gateway verwendet wird. Die Angreifer setzten Backdoors auf einer begrenzten Anzahl von Geräten durch ein speziell gestaltetes Microsoft Excel E-Mail-Anhang ein. Trotz eines Sicherheitsupdates von Barracuda am 21. Dezember 2023 bleibt der ursprüngliche Fehler im Perl-Modul Spreadsheet::ParseExcel (Version 0.65) ungepatcht und ist als CVE-2023-7101 gekennzeichnet.

Read More

Malware nutzt Google Oauth, um in Nutzerkonten einzudringen

Malware von Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake nutzen derzeit einen undokumentierten Google OAuth-Endpunkt namens “MultiLogin”, um abgelaufene Authentifizierungs-Cookies wiederherzustellen und in Benutzerkonten einzudringen, selbst wenn das Passwort des Kontos zurückgesetzt wurde. Diese Cookies ermöglichen es Cyberkriminellen, unbefugten Zugriff auf Google-Konten zu erlangen, auch nachdem die legitimen Besitzer sich ausgeloggt haben oder ihre Sitzung abgelaufen ist. Diese Vorgehensweise stellt eine erhebliche Bedrohung dar, da sie anhaltenden Zugang zu kompromittierten Konten ermöglicht. Google hat bisher nicht auf Anfragen bezüglich dieser Missbrauchsfälle reagiert.

Read More

Slay The Spire Mod Downfall wurde gehackt um Malware auf Steam zu verbreiten

Der beliebte Mod “Downfall” für das Spiel “Slay The Spire” wurde am Weihnachtstag gehackt, um Malware über Steam zu verbreiten. Die Malware zielte darauf ab, Benutzerpasswörter aus Internetbrowsern sowie Passwörter für die Messaging-Dienste Telegram und Discord zu stehlen. Betroffene Nutzer sahen ein “Unity Library Installer Popup” beim Starten von Downfall während des Hijacks. Die Entwickler empfehlen, wichtige Passwörter zu ändern, insbesondere solche, die nicht für die Zwei-Faktor-Authentifizierung eingerichtet sind.

Read More