ক্রিটিকাল টিমসিটি বাগস সফটওয়্যার সাপ্লাই চেইনকে বিপদে ফেলছে

জেটব্রেইনস টিমসিটি সফ্টওয়্যার ডেভেলপমেন্ট প্ল্যাটফর্ম ম্যানেজারের ক্লাউড সংস্করণগুলি ইতিমধ্যেই একটি নতুন জোড়া সমালোচনামূলক দুর্বলতার বিরুদ্ধে আপডেট করা হয়েছে, তবে প্রাঙ্গনে স্থাপনার অবিলম্বে প্যাচিং প্রয়োজন, এই সপ্তাহে বিক্রেতার কাছ থেকে একটি সুরক্ষা পরামর্শ দেওয়া হয়েছে।

এটি দ্বিতীয় রাউন্ডের সমালোচনামূলক টিমসিটির দুর্বলতা গত দুই মাসে এর প্রভাবগুলি বিস্তৃত হতে পারে: কোম্পানির সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) প্ল্যাটফর্মটি সিটিব্যাঙ্ক, নাইকি এবং ফেরারি সহ 30,000 প্রতিষ্ঠান জুড়ে ব্যবহৃত হয়।

TeamCity টুল সফ্টওয়্যার ডেভেলপমেন্ট CI/CD পাইপলাইন পরিচালনা করে, যেটি সেই প্রক্রিয়া যার মাধ্যমে কোড তৈরি, পরীক্ষা করা এবং স্থাপন করা হয়। CVE-2024-27198 এবং CVE-2024-27199-এর অধীনে ট্র্যাক করা নতুন দুর্বলতাগুলি হুমকি অভিনেতাদের প্রমাণীকরণ বাইপাস করতে এবং ভিকটিমদের টিমসিটি সার্ভারের প্রশাসক নিয়ন্ত্রণ লাভ করতে পারে, একটি অনুসারে টিমসিটি থেকে ব্লগ পোস্ট.

ত্রুটিগুলি খুঁজে পাওয়া গেছে এবং ফেব্রুয়ারিতে Rapid7 দ্বারা রিপোর্ট করা হয়েছে, কোম্পানিটি যোগ করেছে। র‍্যাপিড৭ টিম দ্রুতই সম্পূর্ণ প্রযুক্তিগত বিশদ প্রকাশ করতে প্রস্তুত, 7 পর্যন্ত টিমসিটি অন-প্রিমিসেস সংস্করণগুলি চালাতে থাকা দলগুলির জন্য হুমকি অভিনেতারা সুযোগটি ধরার আগে তাদের সিস্টেমগুলিকে প্যাচ করা অপরিহার্য করে তুলেছে, কোম্পানি পরামর্শ দিয়েছে।

একটি আপডেট করা TeamCity সংস্করণ, 2023-11.4 প্রকাশ করার পাশাপাশি, বিক্রেতা দ্রুত আপগ্রেড করতে অক্ষম দলগুলির জন্য একটি নিরাপত্তা প্যাচ প্লাগইন অফার করেছে।

CI/CD পরিবেশ সফ্টওয়্যার সাপ্লাই চেইনের জন্য মৌলিক, এটিকে অত্যাধুনিক অ্যাডভান্সড পারসিসটেন্ট থ্রেট (APT) গ্রুপের জন্য একটি আকর্ষণীয় আক্রমণ ভেক্টর করে তোলে।

জেটব্রেইনস টিমসিটি বাগ সফ্টওয়্যার সাপ্লাই চেইনকে বিপন্ন করে

2023 সালের শেষের দিকে, সরকারগুলি বিশ্বব্যাপী শঙ্কা উত্থাপন করেছিল যে রাশিয়ান রাষ্ট্র-সমর্থিত গ্রুপ APT29 (ওরফে নোবেলিয়াম, মিডনাইট ব্লিজার্ড এবং কোজি বিয়ার - 2020-এর পিছনে হুমকি অভিনেতা সোলারওয়াইন্ডস আক্রমণ) সক্রিয়ভাবে অনুরূপ শোষণ করছিল জেটব্রেইনস টিমসিটিতে দুর্বলতা এটি একইভাবে সফ্টওয়্যার সরবরাহ চেইন সাইবার আক্রমণের অনুমতি দিতে পারে।

"অনুমোদিত আক্রমণকারীর প্রমাণীকরণ চেকগুলিকে বাইপাস করার এবং প্রশাসনিক নিয়ন্ত্রণ লাভ করার ক্ষমতা শুধুমাত্র তাৎক্ষণিক পরিবেশের জন্যই নয়, এই ধরনের আপোসকৃত CI/CD পাইপলাইনের মাধ্যমে তৈরি ও স্থাপন করা সফ্টওয়্যারটির অখণ্ডতা এবং নিরাপত্তার জন্যও একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে," রায়ান স্মিথ , Deepfence জন্য পণ্য প্রধান, একটি বিবৃতিতে বলেন.

স্মিথ যোগ করেছেন যে ডেটা সাধারণভাবে সফ্টওয়্যার সরবরাহ চেইন সাইবার আক্রমণের ভলিউম এবং জটিলতা উভয় ক্ষেত্রেই একটি "উল্লেখযোগ্য বৃদ্ধি" দেখায়।

"সাম্প্রতিক JetBrains ঘটনাটি প্রম্পট দুর্বলতা ব্যবস্থাপনা এবং সক্রিয় হুমকি সনাক্তকরণ কৌশলগুলির সমালোচনার একটি প্রখর অনুস্মারক হিসাবে কাজ করে," স্মিথ বলেছেন। "চঞ্চলতা এবং স্থিতিস্থাপকতার সংস্কৃতিকে উত্সাহিত করার মাধ্যমে, সংস্থাগুলি উদীয়মান হুমকিগুলিকে ব্যর্থ করার এবং কার্যকরভাবে তাদের ডিজিটাল সম্পদগুলিকে সুরক্ষিত করার ক্ষমতা বাড়াতে পারে।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain