از یک قفل در مقابل پسزمینه دیجیتال، JetBrains، شرکت سازنده برنامه وب TeamCity CI/CD، اخیراً یک پچ برای این محصول منتشر کرد که کمتر از 26 آسیب پذیری را برطرف می کند.
با این حال، ظاهراً این شرکت تمایلی به فاش کردن جزئیات خاصی در مورد نقصهای JetBrains نداشت و این امر باعث ایجاد نگرانی در بین جامعه امنیت سایبری شد.
در یادداشتهای انتشار که در 27 مارس منتشر شد، تنها چیزی که تیم بيان کرد این بود که «26 مشکل امنیتی برطرف شده است».
درام افشاگری
معمولاً وقتی یک شرکت به مسائل امنیتی می پردازد، شماره های ردیابی CVE را برای آسیب پذیری ها به اشتراک می گذارد. این اعداد مشکل را در چند جمله کوتاه توضیح میدهند و به تیمهای فناوری اطلاعات میگویند که مشکل چقدر شدید است. این به آنها کمک میکند تصمیم بگیرند که آیا باید در اجرای پچ عجله کنند و آیا محل آنها در خطر قریبالوقوع است یا خیر.
این بار حتی CVE فهرست نشده بود که جامعه امنیت سایبری گسترده تر را شگفت زده کرد. در نوشته خود، The Register حدس میزند که این پاسخ JetBrains به "درام افشاگری اخیر مربوط به Rapid7" بود.
برای کسانی که با "درام افشاگری" آشنا نیستند، JetBrains اخیراً یک جفت نقص را در سکوت کامل اصلاح کرد، و بعداً بيان کرد که به ادمین ها در برابر هکرهایی که به دنبال سوء استفاده از آسیب پذیری ها هستند، یک شروع عالی می دهد. از سوی دیگر، Rapid7 این شرکت را باور نکرد و تنها چند ساعت پس از انتشار وصله، راهنمای نحوه استفاده از معایب را منتشر کرد. در نتیجه، برخی از سیستم ها نقض شدند.
سایر محققان بر این باورند که این می تواند با حوادث امنیتی اخیر در TeamCity ارتباط داشته باشد. در اوایل مارس 2024، این شرکت یک وصله برای دو نقص با شدت بالا منتشر کرد. بلافاصله پس از آن، CISA آن را به فهرست KEV خود اضافه کرد، که نشانه سوء استفاده در طبیعت است. احتمال کمی وجود دارد که این وصله، حداقل تا حدی، عواقب دو آسیبپذیری با شدت بالا را برطرف کند، و تیم را مجبور میکند تا زمانی که اکثر مشتریان وصلهای مشکل را برطرف نکنند، سرسختانه بمانند.
با ارسال یک موضوع در Infosec Exchange، کاربری به نام "Not Simon" متوجه شد که بولتن امنیتی JetBrains تنها 7 آسیب پذیری از 26 مورد را نشان می دهد. فهرست را می توانید در اینجا پیدا کنید.
ارسال نظر