أخطاء TeamCity الحرجة تهدد سلسلة توريد البرمجيات

تم بالفعل تحديث الإصدارات السحابية لمدير النظام الأساسي لتطوير البرمجيات JetBrains TeamCity ضد زوج جديد من نقاط الضعف الحرجة، ولكن عمليات النشر المحلية تحتاج إلى تصحيح فوري، حسبما حذر مستشار أمني من البائع هذا الأسبوع.

هذه هي الجولة الثانية من نقاط الضعف الحرجة في TeamCity في الشهرين الماضيين. يمكن أن تكون التداعيات واسعة النطاق: يتم استخدام منصة دورة حياة تطوير البرمجيات (SDLC) الخاصة بالشركة عبر 30,000 ألف مؤسسة، بما في ذلك Citibank وNike وFerrari.

تدير أداة TeamCity مسار CI/CD لتطوير البرامج، وهي العملية التي يتم من خلالها إنشاء التعليمات البرمجية واختبارها ونشرها. يمكن أن تسمح الثغرات الأمنية الجديدة، التي تم تتبعها تحت CVE-2024-27198 وCVE-2024-27199، للجهات الفاعلة في مجال التهديد بتجاوز المصادقة والحصول على تحكم إداري في خادم TeamCity الخاص بالضحية، وفقًا لتقرير جديد. مشاركة مدونة من TeamCity.

وأضافت الشركة أنه تم العثور على العيوب والإبلاغ عنها بواسطة Rapid7 في فبراير. ويستعد فريق Rapid7 لإصدار التفاصيل الفنية الكاملة قريبًا، مما يجعل من الضروري للفرق التي تقوم بتشغيل إصدارات TeamCity المحلية حتى 2023.11.3 أن تقوم بتصحيح أنظمتها قبل أن تغتنم الجهات الفاعلة التهديدية الفرصة، حسبما نصحت الشركة.

بالإضافة إلى إصدار إصدار TeamCity المحدث، 2023-11.4، قدم البائع مكونًا إضافيًا لتصحيح الأمان للفرق غير القادرة على الترقية بسرعة.

تعد بيئة CI/CD أساسية لسلسلة توريد البرامج، مما يجعلها وسيلة هجوم جذابة لمجموعات التهديد المستمر المتقدم (APT).

خلل في JetBrains TeamCity يعرض سلسلة توريد البرمجيات للخطر

في أواخر عام 2023، دقت الحكومات في جميع أنحاء العالم ناقوس الخطر بشأن المجموعة الروسية المدعومة من الدولة APT29 (المعروفة أيضًا باسم نوبليوم، وMidnight Blizzard، وCozy Bear) - الجهة الفاعلة التي تقف وراء هجمات 2020. هجوم SolarWinds) كان يستغل بنشاط مماثل ثغرة أمنية في JetBrains TeamCity يمكن أن يسمح ذلك أيضًا بالهجمات الإلكترونية لسلسلة توريد البرامج.

"إن قدرة مهاجم غير مصادق على تجاوز عمليات التحقق من المصادقة والحصول على التحكم الإداري تشكل خطرًا كبيرًا ليس فقط على البيئة المباشرة ولكن أيضًا على سلامة وأمن البرنامج الذي يتم تطويره ونشره من خلال خطوط أنابيب CI/CD المعرضة للخطر،" ريان سميث وقال رئيس المنتج لشركة Deepfence في بيان.

وأضاف سميث أن البيانات تظهر "ارتفاعًا ملحوظًا" في كل من حجم وتعقيد الهجمات الإلكترونية لسلسلة توريد البرامج بشكل عام.

وقال سميث: "إن حادثة JetBrains الأخيرة بمثابة تذكير صارخ بأهمية الإدارة السريعة للثغرات الأمنية واستراتيجيات الكشف الاستباقي عن التهديدات". "من خلال تعزيز ثقافة المرونة والمرونة، يمكن للمؤسسات تعزيز قدرتها على إحباط التهديدات الناشئة وحماية أصولها الرقمية بشكل فعال."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain