Критические ошибки TeamCity ставят под угрозу цепочку поставок программного обеспечения

Облачные версии менеджера платформы разработки программного обеспечения JetBrains TeamCity уже обновлены с учетом новой пары критических уязвимостей, но локальные развертывания требуют немедленного исправления, как предупредили на этой неделе поставщики в рекомендациях по безопасности.

Это второй тур критические уязвимости TeamCity за последние два месяца. Последствия могут быть широкими: платформа жизненного цикла разработки программного обеспечения (SDLC) компании используется в 30,000 XNUMX организациях, включая Citibank, Nike и Ferrari.

Инструмент TeamCity управляет конвейером CI/CD разработки программного обеспечения, который представляет собой процесс создания, тестирования и развертывания кода. Новые уязвимости, отслеживаемые под CVE-2024-27198 и CVE-2024-27199, могут позволить злоумышленникам обойти аутентификацию и получить административный контроль над сервером TeamCity жертвы, согласно данным сообщение в блоге от TeamCity.

Компания Rapid7 обнаружила и сообщила о недостатках в феврале, добавила компания. Команда Rapid7 готова в ближайшее время опубликовать полную техническую информацию, поэтому командам, использующим локальные версии TeamCity до 2023.11.3, необходимо обновить свои системы, прежде чем злоумышленники воспользуются этой возможностью, сообщила компания.

Помимо выпуска обновленной версии TeamCity 2023-11.4, поставщик предложил плагин исправления безопасности для команд, которые не могут выполнить быстрое обновление.

Среда CI/CD имеет основополагающее значение для цепочки поставок программного обеспечения, что делает ее привлекательным вектором атаки для сложных групп постоянных угроз (APT).

JetBrains TeamCity создает угрозу для цепочки поставок программного обеспечения

В конце 2023 года правительства всего мира подняли тревогу по поводу того, что поддерживаемая государством российская группа APT29 (также известная как Nobelium, Midnight Blizzard и Cosy Bear) — злоумышленник, стоящий за атакой 2020 года. Атака SolarWinds) активно эксплуатировал подобное уязвимость в JetBrains TeamCity это также может привести к кибератакам на цепочку поставок программного обеспечения.

«Способность неаутентифицированного злоумышленника обходить проверки аутентификации и получать административный контроль представляет собой значительный риск не только для непосредственной среды, но также для целостности и безопасности программного обеспечения, разрабатываемого и развертываемого через такие скомпрометированные конвейеры CI/CD», — Райан Смит , руководитель отдела продуктов Deepfence, говорится в заявлении.

Смит добавил, что данные показывают «заметный рост» как объема, так и сложности кибератак в цепочке поставок программного обеспечения в целом.

«Недавний инцидент с JetBrains служит ярким напоминанием о важности оперативного управления уязвимостями и стратегий превентивного обнаружения угроз», — сказал Смит. «Повышая культуру гибкости и устойчивости, организации могут повысить свою способность предотвращать возникающие угрозы и эффективно защищать свои цифровые активы».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain