גרסאות ענן של מנהל פלטפורמת פיתוח התוכנה JetBrains TeamCity כבר עודכנו כנגד צמד חדש של פגיעויות קריטיות, אך פריסות מקומיות זקוקות לתיקון מיידי, כך הזהיר השבוע ייעוץ אבטחה מהספק.
זהו הסיבוב השני של פגיעויות קריטיות של TeamCity בחודשיים האחרונים. ההשלכות יכולות להיות רחבות: פלטפורמת מחזור החיים של פיתוח התוכנה (SDLC) של החברה משמשת ב-30,000 ארגונים, כולל סיטיבנק, נייקי ופרארי.
הכלי TeamCity מנהל את צינור פיתוח התוכנה CI/CD, שהוא התהליך שבו קוד נבנה, נבדק ופריסה. נקודות התורפה החדשות, שמעקבות אחריהם תחת CVE-2024-27198 ו-CVE-2024-27199, עשויות לאפשר לשחקני איום לעקוף את האימות ולהשיג שליטה מנהלית על שרת TeamCity של הקורבן, על פי א. פוסט בבלוג מ-TeamCity.
הליקויים נמצאו ודווחו על ידי Rapid7 בפברואר, הוסיפה החברה. צוות Rapid7 מוכן לשחרר פרטים טכניים מלאים בהקדם, מה שהופך את זה הכרחי לצוותים המריצים גרסאות מקומיות של TeamCity עד 2023.11.3 לתקן את המערכות שלהם לפני ששחקני האיומים יתפסו את ההזדמנות, ייעצה החברה.
בנוסף לשחרור גרסת TeamCity מעודכנת, 2023-11.4, הספק הציע תוסף תיקון אבטחה לצוותים שאינם יכולים לשדרג במהירות.
סביבת ה-CI/CD היא הבסיסית לשרשרת אספקת התוכנה, מה שהופך אותה לוקטור התקפה אטרקטיבי עבור קבוצות מתוחכמות של מתקדמים מתמשכים (APT).
JetBrains TeamCity באג מסכן את שרשרת אספקת התוכנה
בסוף 2023, ממשלות ברחבי העולם העלו את האזעקה כי הקבוצה הרוסית הנתמכת על ידי המדינה APT29 (הידועה גם בשם Nobelium, Midnight Blizzard, and Cozy Bear - שחקן האיום מאחורי 2020 התקפת SolarWinds) ניצל באופן פעיל דומה פגיעות ב-JetBrains TeamCity שיכול גם לאפשר התקפות סייבר של שרשרת אספקת התוכנה.
"היכולת של תוקף לא מאומת לעקוף בדיקות אימות ולהשיג שליטה ניהולית מהווה סיכון משמעותי לא רק לסביבה המיידית אלא גם לשלמות והאבטחה של התוכנה המפותחת ונפרסת דרך צינורות CI/CD שנפגעו כל כך", ריאן סמית'. , ראש תחום המוצר של Deepfence, אמר בהצהרה.
סמית' הוסיף כי הנתונים מראים "עלייה בולטת" הן בנפח והן במורכבות של מתקפות סייבר של שרשרת אספקת התוכנה באופן כללי.
"התקרית האחרונה של JetBrains משמשת תזכורת מוחלטת לקריטיות של ניהול פגיעות מהיר ואסטרטגיות יזומות לזיהוי איומים", אמר סמית. "על ידי טיפוח תרבות של זריזות וחוסן, ארגונים יכולים לשפר את יכולתם לסכל איומים מתעוררים ולהגן על הנכסים הדיגיטליים שלהם ביעילות."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain
- :הוא
- :לֹא
- 000
- 11
- 2020
- 2023
- 30
- 7
- a
- יכולת
- פי
- לרוחב
- באופן פעיל
- שחקנים
- הוסיף
- תוספת
- מנהל
- מנהלי
- מתקדם
- מומלץ
- ייעוץ
- נגד
- aka
- אזעקה
- להתיר
- כְּבָר
- גם
- an
- ו
- APT
- AS
- נכסים
- לתקוף
- תוקף
- מושך
- אימות
- BE
- דוב
- היה
- לפני
- מאחור
- להיות
- שניהם
- חרק
- באגים
- נבנה
- אבל
- by
- לעקוף
- CAN
- היאבקות
- שרשרת
- בדיקות
- סיטיבנק
- קוד
- חברה
- מורכבות
- התפשר
- לִשְׁלוֹט
- יכול
- קריטי
- ביקורתיות
- תַרְבּוּת
- התקפות רשת
- נתונים
- פרס
- פריסות
- פרטים
- איתור
- מפותח
- צעצועי התפתחות
- דיגיטלי
- נכסים דיגיטליים
- יעילות
- מתעורר
- להגביר את
- סביבה
- מנצל
- פבואר
- פרארי
- פגמים
- בעד
- טיפוח
- מצא
- החל מ-
- מלא
- יסודי
- לְהַשִׂיג
- כללי
- לקבל
- ממשלות
- קְבוּצָה
- קבוצה
- יש
- ראש
- HTTPS
- מיידי
- הֶכְרֵחִי
- in
- תקרית
- כולל
- שלמות
- IT
- jpg
- מְאוּחָר
- מעגל החיים
- עשייה
- ניהול
- מנהל
- מצליח
- חצות
- חודשים
- צורך
- חדש
- NIKE
- יַקִיר
- of
- מוצע
- רק
- עַל גַבֵּי
- הזדמנות
- ארגונים
- זוג
- עבר
- תיקון
- תיקון
- צינור
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- חיבור
- שָׁקוּל
- תנוחות
- הודעה
- פרואקטיבי
- תהליך
- המוצר
- מהירות
- מורם
- השלכות
- לאחרונה
- לשחרר
- שחרור
- תזכורת
- דווח
- כושר התאוששות
- הסיכון
- עגול
- ריצה
- רוסי
- ריאן
- s
- לְהַגֵן
- אמר
- שְׁנִיָה
- אבטחה
- תיקון אבטחה
- שרת
- משמש
- הופעות
- משמעותי
- דומה
- נפח
- תוכנה
- פיתוח תוכנה
- שרשרת אספקת תוכנה
- מתוחכם
- מוּחלָט
- הצהרה
- אסטרטגיות
- כזה
- לספק
- שרשרת אספקה
- מערכות
- נבחרת
- צוותי
- טכני
- נבדק
- זֶה
- השמיים
- שֶׁלָהֶם
- זֶה
- השבוע
- איום
- איום שחקנים
- איומים
- דרך
- לְסַכֵּל
- ל
- כלי
- שתיים
- לא מסוגל
- תחת
- מְעוּדכָּן
- שדרוג
- מְשׁוּמָשׁ
- מוכר
- גרסה
- גירסאות
- קרבן
- כֶּרֶך
- פגיעויות
- פגיעות
- מוזהר
- היה
- שבוע
- היו
- אשר
- רָחָב
- עולמי
- זפירנט