Kritikus TeamCity-hibák veszélyeztetik a szoftver-ellátási láncot

A JetBrains TeamCity szoftverfejlesztési platform menedzser felhőverzióit már frissítették egy új pár kritikus biztonsági réssel szemben, de a helyszíni telepítések azonnali javításra szorulnak – figyelmeztetett a gyártó ezen a héten kapott biztonsági tanácsa.

Ez a második forduló kritikus TeamCity biztonsági rések az elmúlt két hónapban. A következmények széleskörűek lehetnek: a vállalat szoftverfejlesztési életciklus (SDLC) platformját 30,000 XNUMX szervezet használja, köztük a Citibank, a Nike és a Ferrari.

A TeamCity eszköz kezeli a szoftverfejlesztési CI/CD folyamatot, amely a kód felépítésének, tesztelésének és üzembe helyezésének folyamata. A CVE-2024-27198 és CVE-2024-27199 alatt nyomon követett új sebezhetőségek lehetővé tehetik a fenyegetés szereplői számára, hogy megkerüljék a hitelesítést, és megszerezzék az adminisztrátori irányítást az áldozat TeamCity szervere felett. blogbejegyzés a TeamCity-től.

A hibákat a Rapid7 találta meg és jelentette be februárban – tette hozzá a cég. A Rapid7 csapata készen áll arra, hogy a közeljövőben nyilvánosságra hozza a teljes műszaki részletet, ezért a TeamCity helyszíni verzióit 2023.11.3-ig futtató csapatok számára elengedhetetlen, hogy javítsák rendszereiket, mielőtt a fenyegetés szereplői rákapnának a lehetőségre.

A frissített TeamCity 2023-11.4-es verzió kiadása mellett a gyártó egy biztonsági javítási bővítményt is kínált azoknak a csapatoknak, akik nem tudnak gyorsan frissíteni.

A CI/CD környezet alapvető fontosságú a szoftverellátási láncban, így vonzó támadási vektor a kifinomult, továbbfejlesztett perzisztens fenyegetés (APT) csoportok számára.

JetBrains TeamCity Bug Endangers Software Supply Chain

2023 végén a kormányok világszerte felkeltették a vészjelzést, hogy az orosz állami támogatású APT29 csoport (más néven Nobelium, Midnight Blizzard és Cozy Bear – a 2020 mögötti fenyegetés szereplője) A SolarWinds támad) aktívan kihasznált egy hasonlót a JetBrains TeamCity sebezhetősége amely szintén lehetővé teheti a szoftver-ellátási lánc kibertámadásait.

„A hitelesítés nélküli támadók azon képessége, hogy megkerüljék a hitelesítési ellenőrzéseket és megszerezzék az adminisztratív irányítást, jelentős kockázatot jelentenek nemcsak a közvetlen környezetre, hanem az ilyen kompromittált CI/CD-folyamatokon keresztül fejlesztendő és telepített szoftver integritására és biztonságára is” – mondta Ryan Smith. , a Deepfence termékért felelős vezetője – áll a közleményben.

Smith hozzátette, az adatok „figyelemreméltó növekedést” mutatnak mind a szoftver-ellátási lánc kibertámadásainak mennyiségében, mind általában véve összetettségében.

"A közelmúltban történt JetBrains incidens határozottan emlékeztet a gyors sebezhetőség-kezelés és a proaktív fenyegetésészlelési stratégiák kritikusságára" - mondta Smith. „Az agilitás és rugalmasság kultúrájának előmozdításával a szervezetek fokozhatják képességüket a felmerülő fenyegetések meghiúsítására és digitális eszközeik hatékony védelmére.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain