Critical TeamCity Bugs زنجیره تامین نرم افزار را به خطر می اندازد

نسخه‌های ابری مدیر پلتفرم توسعه نرم‌افزار JetBrains TeamCity قبلاً در برابر یک جفت آسیب‌پذیری حیاتی جدید به‌روزرسانی شده‌اند، اما یک توصیه امنیتی از فروشنده این هفته هشدار داد که استقرار در محل نیاز به اصلاح فوری دارد.

این دور دوم است آسیب پذیری های حیاتی TeamCity در دو ماه گذشته پیامدها می تواند گسترده باشد: پلت فرم چرخه حیات توسعه نرم افزار (SDLC) این شرکت در 30,000 سازمان از جمله سیتی بانک، نایک و فراری استفاده می شود.

ابزار TeamCity خط لوله توسعه نرم افزار CI/CD را مدیریت می کند، که فرآیندی است که توسط آن کد ساخته، آزمایش و مستقر می شود. آسیب پذیری های جدید که تحت CVE-2024-27198 و CVE-2024-27199 ردیابی می شوند، می توانند به عوامل تهدید اجازه دهند تا احراز هویت را دور بزنند و کنترل سرپرست سرور TeamCity قربانی را به دست آورند. پست وبلاگ از TeamCity.

این شرکت اضافه کرد که این نقص ها توسط Rapid7 در ماه فوریه یافت و گزارش شد. به گفته این شرکت، تیم Rapid7 آماده است تا جزئیات فنی کامل را به‌زودی منتشر کند، و این امر را برای تیم‌هایی که نسخه‌های داخلی TeamCity را تا سال 2023.11.3 اجرا می‌کنند ضروری می‌سازد تا قبل از اینکه عوامل تهدید فرصت را پیدا کنند، سیستم‌های خود را اصلاح کنند.

علاوه بر انتشار نسخه به روز شده TeamCity، 2023-11.4، فروشنده یک افزونه وصله امنیتی را برای تیم هایی که قادر به ارتقاء سریع نیستند، ارائه کرد.

محیط CI/CD برای زنجیره تامین نرم‌افزار اساسی است و آن را به یک بردار حمله جذاب برای گروه‌های تهدید دائمی پیشرفته (APT) تبدیل می‌کند.

JetBrains TeamCity باگ زنجیره تامین نرم افزار را به خطر می اندازد

در اواخر سال 2023، دولت‌های سراسر جهان هشدار دادند که گروه تحت حمایت دولت روسیه APT29 (با نام مستعار Nobelium، Midnight Blizzard، و Cozy Bear - بازیگر تهدید در پشت 2020) حمله به SolarWinds) به طور فعال از یک مشابه بهره برداری می کرد آسیب پذیری در JetBrains TeamCity که به همین ترتیب می تواند به حملات سایبری زنجیره تامین نرم افزار اجازه دهد.

رایان اسمیت: «توانایی یک مهاجم احراز هویت نشده برای دور زدن بررسی‌های احراز هویت و به دست آوردن کنترل اداری، نه تنها برای محیط بلافصل بلکه برای یکپارچگی و امنیت نرم‌افزاری که از طریق خطوط لوله CI/CD در معرض خطر توسعه و استقرار می‌شود، خطر قابل‌توجهی ایجاد می‌کند». رئیس محصول Deepfence در بیانیه ای گفت.

اسمیت اضافه کرد که داده‌ها «افزایش قابل‌توجهی» را در حجم و پیچیدگی حملات سایبری زنجیره تأمین نرم‌افزار به طور کلی نشان می‌دهد.

اسمیت گفت: "حادثه اخیر JetBrains به عنوان یادآوری جدی از اهمیت مدیریت سریع آسیب پذیری و استراتژی های پیشگیرانه شناسایی تهدید است." سازمان‌ها با پرورش فرهنگ چابکی و انعطاف‌پذیری می‌توانند توانایی خود را برای خنثی کردن تهدیدات نوظهور و حفاظت مؤثر از دارایی‌های دیجیتال خود افزایش دهند.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain