英國國家網路安全中心 (NCSC) 及其美國合作機構、國家安全局 (NSA) 和聯邦調查局 (FBI) 今天發布了另一份警報，強調與俄羅斯國家有關的威脅行為者正在大規模利用漏洞。

最新的通報警告有可能成為莫斯科外國情報局 (SVR) 目標的組織，在軟體更新可用後立即快速部署修補程式並優先考慮軟體更新。

SVR 是涉嫌向 APT29（或更奇特的 Cozy Bear）組織提供任務的眾多俄羅斯機構之一。 Cozy Bear 是影響 SolarWinds 客戶的 Solorigate/Sunburst 事件以及 2016 年美國民主黨全國委員會黑客事件等眾多事件的幕後黑手。

NCSC 營運總監 Paul Chichester 表示：「俄羅斯網路攻擊者對存取多個領域未修補的系統很感興趣，而且能力很強，一旦進入，他們就可以利用這種存取來實現他們的目標。

他補充說：“鼓勵所有組織加強網路防禦：留意諮詢中提出的建議，並優先部署修補程式和軟體更新。”

這些機構強調了 Cozy Bear 用來收集外國情報的一些最新策略，該公司最近專門針對政府和外交機構、智囊團、科技公司和金融機構。

眾所周知，掃描面向互聯網的系統以大規模查找未修補的漏洞，然後伺機利用它們，以期進一步造成損害。

因此，任何部門的任何組織（不僅僅是那些面臨特定間諜活動風險的組織）都可能會發現自己陷入困境，因為Cozy Bear 利用其易受攻擊的系統來託管惡意基礎設施、從受感染的帳戶運行後續操作或進行樞軸轉移到其他網路。

這在 Sunburst 事件中最為著名，SolarWinds 在不知不覺中為美國政府網絡提供了墊腳石。

該諮詢文件記錄了 Cozy Bear 持續利用各種供應商產品中的多個公開披露的漏洞來進行入侵。

其中一些問題可以追溯到五年多以前，並且所有問題都已被披露和修補。總的來說，它們可以實現多種攻擊場景。

最近特別值得注意的是指定為 CVE-2022-27924 和 CVE-2023-42793 的兩個問題。

第一個是 Zimbra 中的命令注入漏洞，該漏洞使未經身份驗證的使用者能夠將任意命令注入目標實例，從而導致任意快取條目被覆蓋。 Cozy Bear 已在全球數百個網域中大規模利用它，並使用它來存取用戶憑證和郵箱，而無需與受害者互動。

第二個是 JetBrains TeamCity 中的任意程式碼執行缺陷，該缺陷是由於對允許繞過身份驗證的特定路徑的不安全處理而產生的。

合作夥伴表示，根據 Cozy Bear 已知的策略、技術和程序 (TTP) 及其先前的目標，該行動有能力也有興趣利用其他 CVE 進行初始存取、遠端程式碼執行和權限升級。