Se insta a los usuarios de JetBrains TeamCity a aplicar la última versión actualizada esta semana después de que el proveedor revelara 26 nuevos problemas de seguridad en la aplicación web CI/CD. Sin embargo, JetBrains se negó a revelar detalles. Las notas de la versión 2024.03 simplemente indican «Se han solucionado 26 problemas de seguridad». Normalmente, los avisos de seguridad detallan al menos el ID de seguimiento CVE para cada vulnerabilidad, así como la clasificación de gravedad estimada y una breve descripción de la ubicación y naturaleza de la vulnerabilidad. Sin embargo, JetBrains se ha mantenido firme en contra de la divulgación preventiva de problemas de seguridad, luego de un breve drama de divulgación que involucró a Rapid7 a principios de este mes. Rapid7 criticó a JetBrains por supuestamente reparar silenciosamente un par de vulnerabilidades. JetBrains dijo que estaba dando tiempo a los administradores para aplicar parches antes de hacer públicos los detalles, mientras que Rapid7 aparentemente no lo creía, por lo que publicó lo que era esencialmente una guía práctica para explotarlos solo unas horas después de que se lanzaron los parches. La medida condujo a la explotación. Quizás aprendiendo de este incidente, JetBrains aparentemente está pecando de extrema precaución al retener toda la información. Le pedimos al proveedor más detalles sobre esto, pero no respondió de inmediato. Al dar su interpretación del enfoque de JetBrains, Elliott Wilkes, CTO de Advanced Cyber ​​Defense Systems, dijo: «Esto parece sorprendentemente opaco dada la cantidad de vulnerabilidades aquí. Hay algunos factores que posiblemente estén afectando su decisión de solucionar estos problemas sin ninguna explicación o detalle. Primero, a principios de marzo TeamCity tenía dos vulnerabilidades críticas que fueron explotadas por equipos de ransomware. Eran bastante importantes, hasta el punto de que rápidamente pasaron a formar parte de la lista CISA de vulnerabilidades explotadas conocidas (KEV). «El grupo TeamCity/JetBrains podría estar teniendo especial precaución en este momento considerando los ataques de ransomware a sus clientes que salieron a la luz a principios de este mes. También es posible que se trate de problemas relacionados de alguna manera, en cuyo caso estarían obligados a no revelar más información. durante las operaciones de respuesta a incidentes y ransomware en curso. Dicho esto, 26 problemas son muchos y me sorprendería si todos estuvieran relacionados con los problemas de ransomware en curso». JetBrains dice en las notas de la versión: «No compartimos los detalles de los problemas relacionados con la seguridad para evitar comprometer a los clientes que siguen usando correcciones de errores anteriores y/o versiones principales de TeamCity». El proveedor ha remitido a los usuarios a su página de boletines de seguridad publicados para conocer las vulnerabilidades reveladas, pero éstas normalmente no aparecen hasta al menos unos días después del lanzamiento de la nueva versión. También se incluyó en la sección de seguridad de las notas de la versión un guiño a una nueva característica para los usuarios locales de TeamCity que llegó en 2024.03, que permite descargar actualizaciones de seguridad críticas de forma semiautomática. La versión en la nube de TeamCity ya se benefició de actualizaciones de seguridad automáticas, pero esta es la primera vez que los usuarios locales tienen el mismo lujo. «Para mantenerse a la vanguardia en la prevención y mitigación de problemas de seguridad, TeamCity 2024.03 ahora descarga automáticamente actualizaciones de seguridad críticas», se dice en el documento. «Este enfoque ayuda a mantener su sistema fortalecido contra riesgos emergentes y a abordar rápidamente vulnerabilidades importantes». Se le llama función de actualización semiautomática porque una vez descargada, el administrador del sistema aún necesita aprobar la instalación de la actualización. Proteja esos canales Dado que TeamCity tiene la tarea de administrar los canales de CI/CD, esto convierte a la herramienta en un objetivo principal para los malhechores que buscan lanzar un ataque a la cadena de suministro de software. La historia nos ha dicho que estos pueden ser bastante desagradables y comprometer a un gran número de organizaciones, como en el caso de SolarWinds. TeamCity ha sido objeto de varios ataques en los últimos tiempos, incluso por parte de delincuentes que utilizan Jasmin, una versión modificada de la variante educativa del ransomware GoodWill, ya este mes. En diciembre, los ciberatacantes patrocinados por el estado ruso y norcoreano también fueron sorprendidos explotando una vulnerabilidad crítica en TeamCity durante tres meses. Varias agencias de seguridad dijeron en un aviso que los exploits exitosos podrían conducir a la manipulación del código fuente, la firma de certificados y la compilación e implementación de procesos. Con bastante frecuencia se descubren ataques más amplios a las cadenas de suministro de software, dado el nivel de acceso y el potencial de interrupción que ofrecen. El Reino Unido y la República de Corea emitieron una alerta a fines del año pasado advirtiendo sobre un aumento en la sofisticación de las tropas cibernéticas patrocinadas por el estado de Corea del Norte al llevar a cabo sus ataques a la cadena de suministro de software. Señalaron que las vulnerabilidades de día cero y día N se estaban utilizando cada vez más para promover los objetivos típicos del país de generación de dinero, espionaje y robo de propiedad intelectual. Incidentes importantes como los que involucran a MOVEit MFT y 3CX también dominaron los titulares durante el año pasado. La orquestación de Cl0p de los ataques MOVEit provocó que más de 2.700 organizaciones sufrieran ataques, mientras que se cree que el incidente de 3CX es el primer caso registrado de un ataque a la cadena de suministro de software que conduce a otro. Solo esta semana hemos visto aproximadamente 170.000 miembros de la página Top.gg de GitHub afectados por un paquete Python envenenado, y el aumento de la IA también podría conducir a una expansión de este tipo de ataques si la industria no tiene cuidado. ®

Source link