TeamCity 严重错误危及软件供应链

供应商本周警告说，JetBrains TeamCity 软件开发平台管理器的云版本已经针对一对新的关键漏洞进行了更新，但本地部署需要立即修补。

这是第二轮 严重的 TeamCity 漏洞 在过去的两个月里。影响可能很广泛：该公司的软件开发生命周期 (SDLC) 平台被 30,000 个组织使用，包括花旗银行、耐克和法拉利。

TeamCity 工具管理软件开发 CI/CD 管道，这是构建、测试和部署代码的过程。根据 CVE-2024-27198 和 CVE-2024-27199 跟踪的新漏洞可能允许威胁行为者绕过身份验证并获得受害者 TeamCity 服务器的管理控制权。 来自 TeamCity 的博客文章.

该公司补充说，Rapid7 在二月份发现并报告了这些缺陷。该公司表示，Rapid7 团队准备立即发布完整的技术细节，这使得在 2023.11.3 年 XNUMX 月 XNUMX 日之前运行 TeamCity 本地版本的团队必须在威胁行为者抓住机会之前修补其系统。

除了发布更新的 TeamCity 版本 2023-11.4 之外，供应商还为无法快速升级的团队提供了安全补丁插件。

CI/CD 环境是软件供应链的基础，使其成为对复杂的高级持续威胁 (APT) 组织有吸引力的攻击媒介。

JetBrains TeamCity 漏洞危及软件供应链

2023 年底，世界各国政府对俄罗斯国家支持的组织 APT29（又名 Nobelium、Midnight Blizzard 和 Cosy Bear——2020 年黑客攻击背后的威胁组织）发出警报。 SolarWinds攻击）正在积极利用类似的 JetBrains TeamCity 中的漏洞 这同样可能允许软件供应链网络攻击。

“未经身份验证的攻击者绕过身份验证检查并获得管理控制的能力不仅对直接环境构成重大风险，而且对通过此类受损的 CI/CD 管道开发和部署的软件的完整性和安全性构成重大风险，”Ryan Smith Deepfence 产品负责人在一份声明中表示。

史密斯补充说，数据显示软件供应链网络攻击的数量和复杂性总体上“显着上升”。

史密斯说：“最近的 JetBrains 事件清楚地提醒我们及时进行漏洞管理和主动威胁检测策略的重要性。” “通过培养敏捷性和弹性的文化，组织可以增强阻止新出现的威胁并有效保护其数字资产的能力。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain