Lỗi nghiêm trọng của TeamCity gây nguy hiểm cho chuỗi cung ứng phần mềm

Các phiên bản đám mây của trình quản lý nền tảng phát triển phần mềm JetBrains TeamCity đã được cập nhật để chống lại một cặp lỗ hổng nghiêm trọng mới, nhưng việc triển khai tại chỗ cần được vá ngay lập tức, tư vấn bảo mật từ nhà cung cấp đã cảnh báo trong tuần này.

Đây là vòng thứ hai của lỗ hổng nghiêm trọng của TeamCity trong hai tháng qua. Sự phân nhánh có thể rất rộng: Nền tảng vòng đời phát triển phần mềm (SDLC) của công ty được sử dụng trên 30,000 tổ chức, bao gồm Citibank, Nike và Ferrari.

Công cụ TeamCity quản lý quy trình CI/CD phát triển phần mềm, đây là quá trình xây dựng, thử nghiệm và triển khai mã. Theo một báo cáo, các lỗ hổng mới, được theo dõi theo CVE-2024-27198 và CVE-2024-27199, có thể cho phép các tác nhân đe dọa bỏ qua xác thực và giành quyền kiểm soát quản trị viên máy chủ TeamCity của nạn nhân. bài đăng trên blog từ TeamCity.

Công ty cho biết thêm, các lỗ hổng đã được Rapid7 tìm thấy và báo cáo vào tháng 7. Nhóm Rapid2023.11.3 sẵn sàng phát hành đầy đủ chi tiết kỹ thuật sắp tới, khiến các nhóm chạy phiên bản TeamCity tại chỗ bắt buộc phải vá hệ thống của họ trước khi các tác nhân đe dọa nắm bắt cơ hội, công ty khuyên.

Ngoài việc phát hành phiên bản TeamCity cập nhật, 2023-11.4, nhà cung cấp còn cung cấp plugin vá bảo mật cho các đội không thể nâng cấp nhanh chóng.

Môi trường CI/CD là nền tảng cho chuỗi cung ứng phần mềm, khiến nó trở thành một vectơ tấn công hấp dẫn đối với các nhóm mối đe dọa dai dẳng (APT) phức tạp, tiên tiến.

Chuỗi cung ứng phần mềm JetBrains TeamCity Bug Endangers

Vào cuối năm 2023, các chính phủ trên toàn thế giới đã đưa ra cảnh báo rằng nhóm APT29 do nhà nước Nga hậu thuẫn (còn gọi là Nobelium, Midnight Blizzard và Cosy Bear - tác nhân đe dọa đằng sau năm 2020). Tấn công SolarWinds) đang tích cực khai thác một thứ tương tự lỗ hổng trong JetBrains TeamCity điều đó cũng có thể cho phép các cuộc tấn công mạng vào chuỗi cung ứng phần mềm.

Ryan Smith: “Khả năng kẻ tấn công không được xác thực vượt qua kiểm tra xác thực và giành quyền kiểm soát quản trị gây ra rủi ro đáng kể không chỉ đối với môi trường trực tiếp mà còn đối với tính toàn vẹn và bảo mật của phần mềm đang được phát triển và triển khai thông qua các đường ống CI/CD bị xâm phạm như vậy”. , người đứng đầu sản phẩm của Deepfence, cho biết trong một tuyên bố.

Smith cho biết thêm, dữ liệu cho thấy “sự gia tăng đáng chú ý” cả về số lượng và mức độ phức tạp của các cuộc tấn công mạng vào chuỗi cung ứng phần mềm nói chung.

Smith cho biết: “Sự cố JetBrains gần đây đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của việc quản lý lỗ hổng kịp thời và các chiến lược phát hiện mối đe dọa chủ động”. “Bằng cách thúc đẩy văn hóa linh hoạt và khả năng phục hồi, các tổ chức có thể nâng cao khả năng ngăn chặn các mối đe dọa mới nổi và bảo vệ tài sản kỹ thuật số của mình một cách hiệu quả.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain