De Russische geheime dienst SVR maakt sinds september gebruik van een kritieke kwetsbaarheid in TeamCity om servers van backdoors te voorzien en verdere aanvallen uit te voeren, zo claimen de Amerikaanse autoriteiten. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software.

Een aanvaller die toegang tot een TeamCity-server heeft, heeft zo ook toegang tot de broncode van de ontwikkelaar, de certificaten voor het signeren van software en kan zo het compileren en uitrollen van de software ondermijnen voor het uitvoeren van supply-chain-aanvallen. De Russische geheime dienst SVR wordt verantwoordelijk gehouden voor de wereldwijde supply-chain-aanval via SolarWinds. Vooralsnog zijn er geen aanwijzingen dat de dienst gecompromitteerde TeamCity-servers hiervoor gebruikt, aldus de FBI, de Amerikaanse geheime dienst NSA en de Britse en Poolse autoriteiten.

Om TeamCity-servers over te nemen zou de SVR gebruikmaken van een kwetsbaarheid aangeduid als CVE-2023-42793. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid maakt het niet alleen mogelijk voor aanvallers om broncode te stelen, maar ook opgeslagen service secrets en private keys.

"En het wordt nog erger: met toegang tot het buildproces kunnen aanvallers malafide code injecteren, de integriteit van software releases compromitteren en alle downstream gebruikers raken", meldde Stefan Schiller van securitybedrijf Sonar Source afgelopen september. Sonar Source rapporteerde het lek aan JetBrains, dat op 21 september met een beveiligingsupdate kwam.

De Russische geheime dienst zou TeamCity-servers via de kwetsbaarheid compromitteren en vervolgens van een backdoor voorzien. Vervolgens proberen de aanvallers zich lateraal door het netwerk van de aangevallen organisatie te bewegen en nemen maatregelen om voor een langere periode toegang tot het gecompromitteerde netwerk te behouden. De Amerikaanse, Britse en Poolse autoriteiten hebben nu meer informatie over de aanvallen gegeven en Indicators of Compromise (IoC's) gepubliceerd waarmee organisaties kunnen kijken of hun TeamCity-servers zijn gecompromitteerd. Volgens de Shadowserver Foundation zijn er nog achthonderd kwetsbare TeamCity-servers vanaf het internet toegankelijk.