JetBrains TeamCity yazılım geliştirme platformu yöneticisinin bulut sürümleri, yeni bir çift kritik güvenlik açığına karşı halihazırda güncellendi, ancak satıcının bu haftaki bir güvenlik tavsiyesinde, şirket içi dağıtımların derhal yamalanması gerektiği konusunda uyarıldı.
Bu ikinci tur TeamCity’deki kritik güvenlik açıkları son iki ayda. Bunun sonuçları çok geniş olabilir: Şirketin yazılım geliştirme yaşam döngüsü (SDLC) platformu, aralarında Citibank, Nike ve Ferrari’nin de bulunduğu 30.000 kuruluşta kullanılıyor.
TeamCity aracı, kodun oluşturulduğu, test edildiği ve dağıtıldığı süreç olan yazılım geliştirme CI/CD hattını yönetir. CVE-2024-27198 ve CVE-2024-27199 altında takip edilen yeni güvenlik açıkları, tehdit aktörlerinin kimlik doğrulamayı atlamasına ve kurbanın TeamCity sunucusunun yönetici kontrolünü ele geçirmesine olanak tanıyabilir. TeamCity’den blog yazısı.
Şirket, kusurların Şubat ayında Rapid7 tarafından bulunup raporlandığını da ekledi. Şirket, Rapid7 ekibinin tüm teknik ayrıntıları yakın zamanda yayınlamaya hazır olduğunu, bunun da TeamCity’nin şirket içi sürümlerini 2023.11.3’e kadar çalıştıran ekiplerin, tehdit aktörleri bu fırsatı yakalamadan önce sistemlerine yama yaptırmalarını zorunlu hale getirdiğini belirtti.
Satıcı, güncellenmiş bir TeamCity sürümü olan 2023-11.4’ü yayınlamanın yanı sıra, hızlı bir şekilde yükseltme yapamayan ekipler için bir güvenlik yaması eklentisi de sundu.
CI/CD ortamı, yazılım tedarik zincirinin temelini oluşturur ve bu da onu gelişmiş gelişmiş kalıcı tehdit (APT) grupları için çekici bir saldırı vektörü haline getirir.
JetBrains TeamCity Hataları Yazılım Tedarik Zincirini Tehlikeye Atıyor
2023’ün sonlarında dünya çapındaki hükümetler, Rus devleti destekli grup APT29’un (diğer adıyla Nobelium, Midnight Blizzard ve Cosy Bear – 2020’nin arkasındaki tehdit aktörü) alarma geçti. SolarWinds saldırısı) benzer bir durumu aktif olarak kullanıyordu JetBrains TeamCity’deki güvenlik açığı bu aynı zamanda yazılım tedarik zinciri siber saldırılarına da izin verebilir.
Ryan Smith, “Kimliği doğrulanmamış bir saldırganın kimlik doğrulama kontrollerini atlayıp idari kontrolü ele geçirme yeteneği, yalnızca yakın çevre için değil aynı zamanda bu tür tehlikeye atılmış CI/CD hatları aracılığıyla geliştirilen ve dağıtılan yazılımın bütünlüğü ve güvenliği açısından da önemli bir risk oluşturur.” Deepfence’in ürün başkanı bir açıklamada şunları söyledi.
Smith, verilerin genel olarak yazılım tedarik zinciri siber saldırılarının hem hacminde hem de karmaşıklığında “kayda değer bir artış” gösterdiğini ekledi.
Smith, “Son JetBrains olayı, güvenlik açığı yönetiminin ve proaktif tehdit tespit stratejilerinin öneminin açık bir hatırlatıcısıdır” dedi. “Kuruluşlar, çeviklik ve dayanıklılık kültürünü teşvik ederek, ortaya çıkan tehditleri engelleme ve dijital varlıklarını etkili bir şekilde koruma becerilerini geliştirebilir.”