JetBrains তার TeamCity অন-প্রিমিসেস সার্ভারে একটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা প্যাচ করেছে যা অননুমোদিত দূরবর্তী আক্রমণকারীদের একটি প্রভাবিত সার্ভারের উপর নিয়ন্ত্রণ লাভ করতে এবং এটিকে একটি প্রতিষ্ঠানের পরিবেশে আরও দূষিত কার্যকলাপ সম্পাদন করতে ব্যবহার করতে দেয়।
TeamCity হল একটি সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) ম্যানেজমেন্ট প্ল্যাটফর্ম যা প্রায় 30,000 প্রতিষ্ঠান — সিটিব্যাঙ্ক, নাইকি এবং ফেরারির মতো বেশ কয়েকটি বড় ব্র্যান্ড সহ — সফ্টওয়্যার তৈরি, পরীক্ষা এবং স্থাপনের প্রক্রিয়াগুলি স্বয়ংক্রিয় করতে ব্যবহার করে। যেমন, এটি সোর্স কোড এবং সাইনিং সার্টিফিকেট সহ আক্রমণকারীদের জন্য উপযোগী হতে পারে এমন অনেকগুলি ডেটার আবাসস্থল, এবং কম্পাইল করা সংস্করণের সফ্টওয়্যার বা স্থাপনার প্রক্রিয়াগুলির সাথে টেম্পারিংয়ের অনুমতি দিতে পারে৷
ত্রুটি, হিসাবে ট্র্যাক জন্য CVE-2024-23917, দুর্বলতা উপস্থাপন করে CWE-288, যা একটি বিকল্প পথ বা চ্যানেল ব্যবহার করে একটি প্রমাণীকরণ বাইপাস। JetBrains 19 জানুয়ারী ত্রুটি সনাক্ত করেছে; এটি 2017.1 থেকে 2023.11.2 পর্যন্ত এর টিমসিটি অন-প্রিমিসেস ক্রমাগত ইন্টিগ্রেশন এবং ডেলিভারি (CI/CD) সার্ভারের সমস্ত সংস্করণকে প্রভাবিত করে৷
"যদি অপব্যবহার করা হয়, ত্রুটিটি প্রমাণীকরণ চেকগুলিকে বাইপাস করতে এবং সেই টিমসিটি সার্ভারের প্রশাসনিক নিয়ন্ত্রণ লাভ করতে একটি টিমসিটি সার্ভারে HTTP(S) অ্যাক্সেস সহ একটি অপ্রমাণিত আক্রমণকারীকে সক্ষম করতে পারে," টিমসিটির ড্যানিয়েল গ্যালো লিখেছেন CVE-2024-23917 বিস্তারিত একটি ব্লগ পোস্টে, এই সপ্তাহের শুরুতে প্রকাশিত।
JetBrains ইতিমধ্যেই একটি আপডেট প্রকাশ করেছে যা দুর্বলতা, টিমসিটি অন-প্রিমিসেসকে সম্বোধন করে 2023.11.3 সংস্করণ, এবং তার নিজস্ব TeamCity ক্লাউড সার্ভারগুলিও প্যাচ করেছে৷ কোম্পানিটিও যাচাই করেছে যে তাদের নিজস্ব সার্ভারে আক্রমণ করা হয়নি।
টিমসিটির শোষণের ইতিহাস
প্রকৃতপক্ষে, টিমসিটি অন-প্রিমিসেস ত্রুটিগুলিকে হালকাভাবে নেওয়া উচিত নয়, কারণ পণ্যটিতে আবিষ্কৃত শেষ প্রধান ত্রুটিটি একটি বিশ্বব্যাপী নিরাপত্তা দুঃস্বপ্নকে উদ্বুদ্ধ করেছিল যখন বিভিন্ন রাষ্ট্র-স্পন্সর অভিনেতারা বিভিন্ন দূষিত আচরণে জড়িত হওয়ার লক্ষ্যে এটিকে লক্ষ্য করে।
সেই ক্ষেত্রে, একটি পাবলিক প্রুফ-অফ-কনসেপ্ট (PoC) একটি জটিল রিমোট কোড এক্সিকিউশন (RCE) বাগ হিসাবে ট্র্যাক করা হয়েছে জন্য CVE-2023-42793 — JetBrains দ্বারা পাওয়া গেছে এবং গত 30 সেপ্টেম্বর প্যাচ করা হয়েছে — মাইক্রোসফ্ট দ্বারা ডায়মন্ড স্লিট এবং অনিক্স স্লিট হিসাবে ট্র্যাক করা দুটি উত্তর কোরিয়ার রাষ্ট্র-সমর্থিত হুমকি গোষ্ঠীর দ্বারা অবিলম্বে শোষণের সূত্রপাত হয়েছে৷ দলগুলো ত্রুটি শোষণ সাইবার গুপ্তচরবৃত্তি, তথ্য চুরি এবং আর্থিকভাবে উদ্বুদ্ধ আক্রমণ সহ বিস্তৃত দূষিত ক্রিয়াকলাপ পরিচালনার জন্য পিছনের দরজা এবং অন্যান্য ইমপ্লান্ট ড্রপ করা।
তারপর ডিসেম্বরে, APT29 (ওরফে CozyBear, the Dukes, মধ্যরাতের ব্লিজার্ড, বা নোবেলিয়াম), কুখ্যাত রাশিয়ান হুমকি গ্রুপ 2020 SolarWinds হ্যাক এর পিছনেও ত্রুটির উপর ধাক্কা. সিআইএসএ, এফবিআই এবং এনএসএ দ্বারা ট্র্যাক করা কার্যকলাপে, অন্যদের মধ্যে, এপিটি দুর্বল সার্ভারগুলিকে আঘাত করে, প্রাথমিক অ্যাক্সেসের জন্য সেগুলিকে ব্যবহার করে সুবিধাগুলি বৃদ্ধি করে, পাশের দিকে সরে যায়, অতিরিক্ত পিছনের দরজা স্থাপন করে এবং স্থায়ী এবং দীর্ঘমেয়াদী অ্যাক্সেস নিশ্চিত করতে অন্যান্য পদক্ষেপ নেয় আপস করা নেটওয়ার্ক পরিবেশে।
আপডেট বা বিকল্প প্রশমন প্রস্তাবিত
এর সর্বশেষ ত্রুটির সাথে অনুরূপ পরিস্থিতি এড়াতে আশা করে, JetBrains তাদের পরিবেশে প্রভাবিত পণ্য সহ যে কাউকে অবিলম্বে প্যাচ করা সংস্করণে আপডেট করার জন্য অনুরোধ করেছে।
যদি এটি সম্ভব না হয়, JetBrains একটি নিরাপত্তা প্যাচ প্লাগইনও প্রকাশ করেছে যা ডাউনলোডের জন্য উপলব্ধ এবং TeamCity সংস্করণ 2017.1 থেকে 2023.11.2 পর্যন্ত ইনস্টল করা যেতে পারে যা সমস্যার সমাধান করবে। সংস্থাটিও পোস্ট ইনস্টলেশন নির্দেশাবলী গ্রাহকদের সমস্যা প্রশমিত করতে সাহায্য করার জন্য প্লাগইনের জন্য অনলাইন।
টিমসিটি জোর দিয়েছিল যে নিরাপত্তা প্যাচ প্লাগইন শুধুমাত্র দুর্বলতাকে মোকাবেলা করবে এবং অন্যান্য সমাধান প্রদান করবে না, তাই গ্রাহকদের "অন্যান্য অনেক নিরাপত্তা আপডেট থেকে উপকৃত হওয়ার জন্য টিমসিটি অন-প্রিমিসেসের সর্বশেষ সংস্করণটি ইনস্টল করার জন্য অত্যন্ত সুপারিশ করা হচ্ছে," গ্যালো লিখেছেন।
আরও, যদি কোনও সংস্থার এমন কোনও প্রভাবিত সার্ভার থাকে যা ইন্টারনেটের মাধ্যমে সর্বজনীনভাবে অ্যাক্সেসযোগ্য এবং সেই প্রশমনের পদক্ষেপগুলির মধ্যে একটিও নিতে পারে না, জেটব্রেইন সুপারিশ করেছে যে ত্রুটিটি প্রশমিত না হওয়া পর্যন্ত সার্ভারটিকে অ্যাক্সেসযোগ্য করে দেওয়া হবে।
টিমসিটি বাগগুলির ক্ষেত্রে শোষণের ইতিহাস বিবেচনা করে, প্যাচিং একটি প্রয়োজনীয় এবং গুরুত্বপূর্ণ প্রথম পদক্ষেপ যা সংস্থাগুলিকে সমস্যাটি পরিচালনা করার জন্য নিতে হবে, ব্রায়ান কন্টোস, সেভকো সিকিউরিটির সিএসও, পর্যবেক্ষণ করেছেন৷ যাইহোক, এমন ইন্টারনেট-মুখী সার্ভার থাকতে পারে যা একটি কোম্পানি ট্র্যাক হারিয়েছে, তিনি পরামর্শ দেন যে আইটি পরিবেশকে আরও দৃঢ়ভাবে লক ডাউন করার জন্য আরও পদক্ষেপ নেওয়া প্রয়োজন হতে পারে।
"আপনি যে আক্রমণের পৃষ্ঠ সম্পর্কে জানেন তা রক্ষা করা যথেষ্ট কঠিন, কিন্তু যখন আপনার আইটি সম্পদের তালিকায় দেখা যায় না এমন দুর্বল সার্ভার থাকে তখন এটি অসম্ভব হয়ে যায়," কন্টোস বলেছেন। "একবার প্যাচিংয়ের যত্ন নেওয়া হলে, নিরাপত্তা দলগুলিকে দুর্বলতা ব্যবস্থাপনার জন্য দীর্ঘমেয়াদী, আরও টেকসই পদ্ধতির দিকে তাদের মনোযোগ দিতে হবে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover
- : আছে
- : হয়
- :না
- $ ইউপি
- 000
- 1
- 11
- 19
- 2017
- 2020
- 2023
- 30
- 7
- a
- সম্পর্কে
- প্রবেশ
- প্রবেশযোগ্য
- ক্রিয়াকলাপ
- কার্যকলাপ
- অভিনেতা
- অতিরিক্ত
- ঠিকানা
- ঠিকানাগুলি
- প্রশাসনিক
- আক্রান্ত
- ওরফে
- সব
- অনুমতি
- অনুমতি
- ইতিমধ্যে
- এছাড়াও
- বিকল্প
- মধ্যে
- an
- এবং
- যে কেউ
- অভিগমন
- APT
- রয়েছি
- AS
- সম্পদ
- At
- আক্রমণ
- আক্রমণকারী
- আক্রমন
- মনোযোগ
- প্রমাণীকরণ
- স্বয়ংক্রিয় পদ্ধতি প্রয়োগ করা
- সহজলভ্য
- এড়াতে
- পিছনে
- BE
- হয়ে
- আচরণ
- পিছনে
- সুবিধা
- ব্লগ
- ব্রান্ডের
- ব্রায়ান
- নম
- বাগ
- নির্মাণ করা
- কিন্তু
- by
- পার্শ্বপথ
- CAN
- যত্ন
- বহন
- কেস
- সার্টিফিকেট
- চ্যানেল
- চেক
- সিটিব্যাঙ্ক
- মেঘ
- কোড
- আসে
- কোম্পানি
- প্রণীত
- সংকটাপন্ন
- একটানা
- নিয়ন্ত্রণ
- পারা
- সংকটপূর্ণ
- কঠোর
- গ্রাহকদের
- সাইবার
- ড্যানিয়েল
- উপাত্ত
- ডিসেম্বর
- বিলি
- স্থাপন
- বিস্তৃতি
- বিস্তারিত
- উন্নয়ন
- হীরা
- আবিষ্কৃত
- ডন
- নিচে
- ডাউনলোড
- ড্রপ
- পূর্বে
- পারেন
- সক্ষম করা
- চুক্তিবদ্ধ করান
- যথেষ্ট
- নিশ্চিত করা
- পরিবেশ
- পরিবেশের
- ধাপে ধাপে বৃদ্ধি করা
- গুপ্তচরবৃত্তি
- ফাঁসি
- কাজে লাগান
- শোষণ
- এফবিআই
- ফেরারী
- আর্থিকভাবে
- দৃঢ়রূপে
- প্রথম
- ঠিক করা
- সংশোধন করা হয়েছে
- ত্রুটি
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- পাওয়া
- থেকে
- অধিকতর
- লাভ করা
- প্রদত্ত
- বিশ্বব্যাপী
- গ্রুপের
- টাট্টু ঘোড়া
- পিটানো
- হাতল
- কঠিন
- he
- সাহায্য
- অত্যন্ত
- ইতিহাস
- হোম
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- চিহ্নিত
- if
- আশু
- অবিলম্বে
- অসম্ভব
- in
- সুদ্ধ
- প্রারম্ভিক
- ইনস্টল
- স্থাপন
- ইনস্টল
- ইন্টিগ্রেশন
- Internet
- জায়
- আইএসএন
- সমস্যা
- IT
- এর
- জানুয়ারি
- JPG
- জানা
- কোরিয়ান
- গত
- সর্বশেষ
- জীবনচক্র
- আস্তে
- মত
- তালা
- দীর্ঘ মেয়াদী
- নষ্ট
- প্রণীত
- মুখ্য
- বিদ্বেষপরায়ণ
- ব্যবস্থাপনা
- অনেক
- মে..
- মাইক্রোসফট
- প্রশমিত করা
- প্রশমন
- অধিক
- উদ্দেশ্যমূলক
- পদক্ষেপ
- অবশ্যই
- কাছাকাছি
- প্রয়োজনীয়
- প্রয়োজন
- নেটওয়ার্ক
- নাইকি
- nst
- উত্তর
- কুখ্যাত
- এখন
- এনএসএ
- লক্ষ্য
- of
- on
- একদা
- অনলাইন
- কেবল
- মণিবিশেষ
- or
- সংগঠন
- সংগঠন
- অন্যান্য
- অন্যরা
- বাইরে
- শেষ
- নিজের
- তালি
- প্যাচিং
- পথ
- সম্পাদন করা
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্লাগ লাগানো
- POC
- সম্ভব
- পোস্ট
- উপস্থাপন
- বিশেষাধিকার
- প্রসেস
- পণ্য
- পণ্য
- প্রদান
- প্রকাশ্য
- প্রকাশ্যে
- প্রকাশিত
- পরিসর
- সুপারিশ করা
- মুক্ত
- দূরবর্তী
- s
- বলেছেন
- দৃশ্যকল্প
- নিরাপত্তা
- নিরাপত্তা প্যাচ
- সুরক্ষা দুর্বলতা
- সেপ্টেম্বর
- সার্ভার
- সার্ভারের
- বিভিন্ন
- প্রদর্শনী
- স্বাক্ষর
- অনুরূপ
- So
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- SolarWinds
- উৎস
- সোর্স কোড
- স্পন্সরকৃত
- ধাপ
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- এমন
- প্রস্তাব
- পৃষ্ঠতল
- টেকসই
- গ্রহণ করা
- ধরা
- লক্ষ্যবস্তু
- দল
- পরীক্ষা
- যে
- সার্জারির
- চুরি
- তাদের
- তাহাদিগকে
- সেখানে।
- এই
- এই সপ্তাহ
- সেগুলো
- হুমকি
- দ্বারা
- থেকে
- পথ
- আলোড়ন সৃষ্টি
- চালু
- দুই
- পর্যন্ত
- আপডেট
- আপডেট
- আহ্বান জানান
- ব্যবহার
- দরকারী
- ব্যবহার
- বিভিন্ন
- ভেরিফাইড
- সংস্করণ
- সংস্করণ
- দুর্বলতা
- জেয়
- দুর্বলতা
- সপ্তাহান্তিক কাল
- ছিল
- কখন
- যে
- ব্যাপক
- প্রশস্ত পরিসর
- ইচ্ছা
- সঙ্গে
- মধ্যে
- লিখেছেন
- আপনি
- আপনার
- zephyrnet