JetBrains 修复了 26 个“安全问题”，但未提供详细信息 • –

在供应商披露 CI/CD Web 应用程序中的 26 个新安全问题后，JetBrains TeamCity 用户本周被敦促应用最新版本升级。

不过，JetBrains 拒绝透露细节。 2024.03 版本的发行说明仅指出“已修复 26 个安全问题”。

通常，安全公告至少详细说明每个漏洞的 CVE 跟踪 ID、估计的严重性评级以及漏洞位置和性质的简要描述。

不过，在本月早些时候发生了涉及 Rapid7 的简短披露事件后，JetBrains 仍然坚决反对先发制人地披露安全问题。

Rapid7 谴责 JetBrains 涉嫌 默默地修补两个漏洞。 JetBrains 表示，它允许管理员有时间在公开详细信息之前应用补丁，而 Rapid7 似乎不相信这一点，因此在补丁发布后几个小时内就发布了本质上是如何利用补丁的指南。 这一举动导致了剥削。

也许是从这次事件中吸取了教训，JetBrains 隐瞒了所有信息，这似乎是极其谨慎的做法。 我们已向供应商询问更多详细信息，但其没有立即回复。

Advanced Cyber​​ Defense Systems 首席技术官 Elliott Wilkes 在解释 JetBrains 的方法时表示：“考虑到此处存在的漏洞数量，这似乎令人惊讶地不透明。

“有几个因素可能会影响他们在没有任何解释或细节的情况下修复这些问题的决定。首先，3 月初，TeamCity 发现了两个被勒索软件团队利用的严重漏洞。它们非常重要，以至于非常严重。很快就被列入 CISA 已知利用漏洞 (KEV) 列表。

“考虑到本月早些时候曝光的针对其客户的勒索软件攻击，TeamCity/JetBrains 小组现在可能会格外小心。这些问题也可能存在某种相关性，在这种情况下，他们将有义务不透露更多信息“在持续的事件响应和勒索软件响应操作期间。也就是说，26 个问题很多，如果所有这些都与持续的勒索软件问题有关，我会感到惊讶。”

JetBrains 表示 发行说明：“我们不会分享安全相关问题的详细信息，以避免影响继续使用以前的错误修复和/或 TeamCity 主要版本的客户。”

该供应商已将用户引导至其发布的安全公告页面，以了解已披露的漏洞，但这些漏洞通常至少在新版本发布后几天内不会出现。

发行说明的安全部分还包括对 2024 年 3 月推出的本地 TeamCity 用户新功能的认可，该功能会半自动下载关键安全更新。

TeamCity 的云版本已经受益于自动安全更新，但这是本地用户第一次获得同样的便利。

文件中表示：“为了让您在预防和缓解安全问题方面保持领先地位，TeamCity 2024.03 现在会自动下载关键安全更新。” “这种方法有助于增强您的系统抵御新出现风险的能力，并迅速解决重大漏洞。”

它被称为半自动升级功能，因为下载后，系统管理员仍然需要批准更新的安装。

保护这些管道

鉴于 TeamCity 的任务是管理 CI/CD 管道，因此该工具成为不法分子发起软件供应链攻击的主要目标。

历史告诉我们，这些可能非常令人讨厌，并导致大量组织的妥协，例如 太阳风。

最近，TeamCity 成为各种攻击的目标，其中包括来自犯罪分子的攻击 使用茉莉花，教育性 GoodWill 勒索软件变种的修改版本最早于本月发布。

早在 12 月，俄罗斯和朝鲜国家支持的网络攻击者也遭到了攻击。 被发现利用 TeamCity 中的一个关键漏洞 三个月。 多家安全机构在一份通报中表示，成功利用该漏洞可能会导致操纵源代码、签署证书以及编译和部署流程。

鉴于软件供应链提供的访问级别和破坏潜力，更广泛的攻击经常被发现。

英国和韩国去年年底发布了警报，警告 朝鲜国家支持的网络部队的复杂程度不断提高 进行软件供应链攻击。 他们指出，零日和 N 日漏洞越来越多地被用来推进该国的典型目标，即赚钱、间谍活动和知识产权盗窃。

过去一年，涉及 MOVEit MFT 和 3CX 等重大事件也占据了头条新闻。 Cl0p 的编排 MOVEit 攻击 导致 2,700 多个组织遭到破坏，而 3CX事件 据信，这是第一例有记录的软件供应链攻击导致另一次攻击的案例。

就在本周，我们发现 Top.gg GitHub 页面估计有 170,000 名成员受到了 中毒的Python包，以及人工智能的兴起 也可能导致此类攻击的扩大 如果这个行业不小心的话。 ®