JetBrains TeamCity sürekli entegrasyon ve sürekli dağıtım (CI/CD) yazılımındaki kritik bir güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için kullanılabilir.
Kusur şu şekilde izlendi: CVE-2023-42793CVSS puanı 9,8’dir ve 6 Eylül 2023’teki sorumlu açıklamanın ardından TeamCity 2023.05.4 sürümünde ele alınmıştır.
Sonar güvenlik araştırmacısı Stefan Schiller geçen hafta bir raporda, “Saldırganlar bu erişimi kaynak kodunu, hizmet sırlarını ve özel anahtarları çalmak, bağlı yapı aracıları üzerinde kontrolü ele geçirmek ve yapı eserlerini zehirlemek için kullanabilirler” dedi.
Hatanın başarılı bir şekilde kullanılması, tehdit aktörlerinin yapı hatlarına erişmesine ve rastgele kod eklemesine de olanak tanıyarak bütünlük ihlaline ve tedarik zincirinde tavizlere yol açabilir.
İstismarın önemsiz olması nedeniyle hatayla ilgili ek ayrıntılar gizlendi; Sonar, bunun tehdit aktörleri tarafından vahşi ortamda istismar edilmesinin muhtemel olduğunu belirtti.
JetBrains, bağımsız bir danışma belgesinde kullanıcılara mümkün olan en kısa sürede yükseltme yapmalarını tavsiye etti. Ayrıca, özellikle kusuru gidermek amacıyla TeamCity 8.0 ve üzeri sürümler için bir güvenlik yaması eklentisi de yayınladı.
Açıklama, Atos Unify OpenScape ürünlerinde, düşük ayrıcalıklı bir saldırganın kök kullanıcı (CVE-2023-36618) olarak keyfi işletim sistemi komutları yürütmesine ve ayrıca kimliği doğrulanmamış bir saldırganın erişim ve erişime izin veren iki yüksek önem dereceli kusurun açıklanmasıyla geldi. çeşitli yapılandırma komut dosyalarını yürütün (CVE-2023-36619).
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Kusurlar Temmuz 2023’te Atos tarafından düzeltildi.
Geçtiğimiz birkaç hafta içinde Sonar, e-postaları çalmak ve kurbanların kimliğine bürünmek için silah olarak kullanılabilecek Proton Mail, Skiff ve Tutanota dahil olmak üzere şifrelenmiş e-posta çözümlerini etkileyen kritik siteler arası komut dosyası çalıştırma (XSS) güvenlik açıkları hakkında ayrıntılar da yayınladı.