באגים קריטיים של TeamCity מסכנים את שרשרת אספקת התוכנה

גרסאות ענן של מנהל פלטפורמת פיתוח התוכנה JetBrains TeamCity כבר עודכנו כנגד צמד חדש של פגיעויות קריטיות, אך פריסות מקומיות זקוקות לתיקון מיידי, כך הזהיר השבוע ייעוץ אבטחה מהספק.

זהו הסיבוב השני של פגיעויות קריטיות של TeamCity בחודשיים האחרונים. ההשלכות יכולות להיות רחבות: פלטפורמת מחזור החיים של פיתוח התוכנה (SDLC) של החברה משמשת ב-30,000 ארגונים, כולל סיטיבנק, נייקי ופרארי.

הכלי TeamCity מנהל את צינור פיתוח התוכנה CI/CD, שהוא התהליך שבו קוד נבנה, נבדק ופריסה. נקודות התורפה החדשות, שמעקבות אחריהם תחת CVE-2024-27198 ו-CVE-2024-27199, עשויות לאפשר לשחקני איום לעקוף את האימות ולהשיג שליטה מנהלית על שרת TeamCity של הקורבן, על פי א. פוסט בבלוג מ-TeamCity.

הליקויים נמצאו ודווחו על ידי Rapid7 בפברואר, הוסיפה החברה. צוות Rapid7 מוכן לשחרר פרטים טכניים מלאים בהקדם, מה שהופך את זה הכרחי לצוותים המריצים גרסאות מקומיות של TeamCity עד 2023.11.3 לתקן את המערכות שלהם לפני ששחקני האיומים יתפסו את ההזדמנות, ייעצה החברה.

בנוסף לשחרור גרסת TeamCity מעודכנת, 2023-11.4, הספק הציע תוסף תיקון אבטחה לצוותים שאינם יכולים לשדרג במהירות.

סביבת ה-CI/CD היא הבסיסית לשרשרת אספקת התוכנה, מה שהופך אותה לוקטור התקפה אטרקטיבי עבור קבוצות מתוחכמות של מתקדמים מתמשכים (APT).

JetBrains TeamCity באג מסכן את שרשרת אספקת התוכנה

בסוף 2023, ממשלות ברחבי העולם העלו את האזעקה כי הקבוצה הרוסית הנתמכת על ידי המדינה APT29 (הידועה גם בשם Nobelium, Midnight Blizzard, and Cozy Bear - שחקן האיום מאחורי 2020 התקפת SolarWinds) ניצל באופן פעיל דומה פגיעות ב-JetBrains TeamCity שיכול גם לאפשר התקפות סייבר של שרשרת אספקת התוכנה.

"היכולת של תוקף לא מאומת לעקוף בדיקות אימות ולהשיג שליטה ניהולית מהווה סיכון משמעותי לא רק לסביבה המיידית אלא גם לשלמות והאבטחה של התוכנה המפותחת ונפרסת דרך צינורות CI/CD שנפגעו כל כך", ריאן סמית'. , ראש תחום המוצר של Deepfence, אמר בהצהרה.

סמית' הוסיף כי הנתונים מראים "עלייה בולטת" הן בנפח והן במורכבות של מתקפות סייבר של שרשרת אספקת התוכנה באופן כללי.

"התקרית האחרונה של JetBrains משמשת תזכורת מוחלטת לקריטיות של ניהול פגיעות מהיר ואסטרטגיות יזומות לזיהוי איומים", אמר סמית. "על ידי טיפוח תרבות של זריזות וחוסן, ארגונים יכולים לשפר את יכולתם לסכל איומים מתעוררים ולהגן על הנכסים הדיגיטליים שלהם ביעילות."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain