क्रिटिकल टीमसिटी बग्स सॉफ्टवेयर सप्लाई चेन को खतरे में डालते हैं

JetBrains TeamCity सॉफ़्टवेयर डेवलपमेंट प्लेटफ़ॉर्म मैनेजर के क्लाउड संस्करणों को पहले से ही महत्वपूर्ण कमजोरियों की एक नई जोड़ी के खिलाफ अपडेट किया गया है, लेकिन ऑन-प्रिमाइसेस तैनाती के लिए तत्काल पैचिंग की आवश्यकता है, इस सप्ताह विक्रेता की एक सुरक्षा सलाह में चेतावनी दी गई है।

यह दूसरा दौर है महत्वपूर्ण टीमसिटी कमजोरियाँ पिछले दो महीनों में. प्रभाव व्यापक हो सकते हैं: कंपनी के सॉफ्टवेयर डेवलपमेंट लाइफसाइकल (एसडीएलसी) प्लेटफॉर्म का उपयोग सिटीबैंक, नाइके और फेरारी सहित 30,000 संगठनों में किया जाता है।

टीमसिटी टूल सॉफ्टवेयर डेवलपमेंट सीआई/सीडी पाइपलाइन का प्रबंधन करता है, जो वह प्रक्रिया है जिसके द्वारा कोड बनाया, परीक्षण और तैनात किया जाता है। सीवीई-2024-27198 और सीवीई-2024-27199 के तहत ट्रैक की गई नई कमजोरियां, खतरे वाले अभिनेताओं को प्रमाणीकरण को बायपास करने और पीड़ित के टीमसिटी सर्वर पर व्यवस्थापक नियंत्रण हासिल करने की अनुमति दे सकती हैं। टीमसिटी से ब्लॉग पोस्ट.

कंपनी ने कहा कि फरवरी में रैपिड7 द्वारा खामियां पाई गईं और रिपोर्ट की गईं। कंपनी ने सलाह दी कि रैपिड7 टीम जल्द ही पूर्ण तकनीकी विवरण जारी करने के लिए तैयार है, जिससे 2023.11.3 तक टीमसिटी ऑन-प्रिमाइसेस संस्करण चलाने वाली टीमों के लिए खतरे के अभिनेताओं के अवसर पकड़ने से पहले अपने सिस्टम को पैच करना अनिवार्य हो जाएगा।

एक अद्यतन टीमसिटी संस्करण, 2023-11.4 जारी करने के अलावा, विक्रेता ने जल्दी से अपग्रेड करने में असमर्थ टीमों के लिए एक सुरक्षा पैच प्लगइन की पेशकश की।

सीआई/सीडी वातावरण सॉफ्टवेयर आपूर्ति श्रृंखला के लिए मौलिक है, जो इसे परिष्कृत उन्नत लगातार खतरे (एपीटी) समूहों के लिए एक आकर्षक हमला वेक्टर बनाता है।

JetBrains TeamCity बग सॉफ़्टवेयर आपूर्ति शृंखला को खतरे में डालता है

2023 के अंत में, दुनिया भर की सरकारों ने चिंता जताई कि रूसी राज्य समर्थित समूह APT29 (उर्फ नोबेलियम, मिडनाइट ब्लिज़ार्ड और कोज़ी बियर - 2020 के पीछे ख़तरा अभिनेता हैं) सोलरवाइंड पर हमला) सक्रिय रूप से एक समान शोषण कर रहा था JetBrains TeamCity में भेद्यता जो इसी तरह सॉफ्टवेयर आपूर्ति श्रृंखला साइबर हमलों की अनुमति दे सकता है।

"एक अप्रमाणित हमलावर की प्रमाणीकरण जांच को बायपास करने और प्रशासनिक नियंत्रण हासिल करने की क्षमता न केवल तत्काल पर्यावरण के लिए बल्कि ऐसे समझौता किए गए सीआई/सीडी पाइपलाइनों के माध्यम से विकसित और तैनात किए जा रहे सॉफ़्टवेयर की अखंडता और सुरक्षा के लिए भी महत्वपूर्ण जोखिम पैदा करती है," रयान स्मिथ डीपफेंस के उत्पाद प्रमुख ने एक बयान में कहा।

स्मिथ ने कहा कि डेटा सामान्य तौर पर सॉफ्टवेयर आपूर्ति श्रृंखला साइबर हमलों की मात्रा और जटिलता दोनों में "उल्लेखनीय वृद्धि" दिखाता है।

स्मिथ ने कहा, "हालिया जेटब्रेन घटना त्वरित भेद्यता प्रबंधन और सक्रिय खतरे का पता लगाने की रणनीतियों की गंभीरता की याद दिलाती है।" "चपलता और लचीलेपन की संस्कृति को बढ़ावा देकर, संगठन उभरते खतरों को विफल करने और अपनी डिजिटल संपत्तियों को प्रभावी ढंग से सुरक्षित रखने की अपनी क्षमता बढ़ा सकते हैं।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain