JetBrains Uncategorized @cs Security TeamCity

Aktualizace informací ohledně SolarWinds

Read this post in other languages:
English, 日本語, 한국어, Türkçe, Deutsch, Português do Brasil, Русский, Español, 简体中文

Prosím, přečtěte si také vyjádření z 8. ledna 2021

Rádi bychom našim zákazníkům poskytli další informace o kybernetickém útoku na společnost SolarWinds. Dnes znovu opakujeme sdělení, které jsme zveřejnili včera – v tomto útoku jsme nehráli žádnou roli, ani si nejsme vědomi žádných zranitelností našeho produktu TeamCity, které by k tomuto útoku mohly vést, a také si nejsme vědomi žádného probíhajícího vyšetřování.

Co je TeamCity a proč je ve zprávách?
TeamCity je náš nástroj pro průběžnou integraci a nasazování software. Slouží k automatizaci vývoje, testování a volitelně i nasazení softwaru. V současné době je k dispozici pouze jako samostatná "self-hosted" aplikace, což znamená, že koncový uživatel je zodpovědný za instalaci, konfiguraci a údržbu systému, včetně veškerých nastavení zabezpečení a přístupu.

Na základě veřejně dostupných informací (které jsou zatím to jediné, co máme k dispozici, neboť ani společnost SolarWinds, ani žádná vládní agentura nás ještě nekontaktovaly s žádnými podrobnostmi ohledně útoku), se zdá, že útok na SolarWinds byl zaměřen na jejich proces vývoje (což média označují jako útok přes dodavatelský řetězec). SolarWinds během procesu vývoje používá kromě jiných nástrojů i TeamCity. Avšak v tomto okamžiku neexistují žádné důkazy o tom, že by hrál nástroj TeamCity v útoku jakoukoliv roli, což potvrzují i vyjádření mluvčího společnosti SolarWinds.

"SolarWinds, stejně jako mnoho dalších společností, používá produkt společnosti JetBrains s názvem TeamCity, který pomáhá s vývojem našeho vlastního softwaru. V rámci našeho probíhajícího vyšetřování přezkoumáváme všechny interní i externí nástroje,“ uvedl mluvčí SolarWinds. „Naše společnost nenašla žádné důkazy, které by spojovaly tento bezpečnostní incident s kompromitováním produktu TeamCity,“ řekl.

Citováno listem The Wall Street Journal.

Skutečnost, že TeamCity je jedním z nástrojů, které SolarWinds používá během procesu vývoje, podle našeho názoru vedla ke zmiňování našeho produktu ve zpravodajství.

Byla společnost JetBrains nebo její produkt TeamCity kompromitovány?
Doposud nemáme žádné informace o tom, že by byly TeamCity nebo JetBrains napadeny jakýmkoliv způsobem, který by vedl k takové situaci. Kromě toho, nejenže provádíme pravidelné plánované audity našeho softwaru, ale nyní organizujeme další nezávislý bezpečnostní audit TeamCity. Pokud v našem produktu nalezneme jakoukoli zranitelnost, která mohla vést k provedení útoku, budeme v této věci plně transparentní a budeme informovat naše zákazníky podle našich Zásad zabezpečení a ochrany osobních údajů.

Za zmínku také stojí, že my sami nepoužíváme SolarWinds Orion ani žádný jiný software této společnosti.

Ovlivňuje to vaše IDE a další nástroje?
Naše IDE jsou samostatné nástroje a nemají žádný vztah k TeamCity, kromě toho, že k jejich vývoji používáme vlastní instalaci TeamCity. Nemáme žádné důkazy, které by naznačovaly, že s některým z našich serverů nebo našich samostatných nástrojů bylo manipulováno a podobně jako v případě TeamCity provádíme pravidelné bezpečnostní audity našich nástrojů a systémů.

Mohu bezpečně používat nástroje od společnosti JetBrains?
Žádný z dosud publikovaných článků, včetně článků odkazujících na vyšetřování FBI, ani prohlášení samotné společnosti SolarWinds, nepřinášejí žádné důkazy o tom, že by nástroj TeamCity měl nějakou zranitelnost nebo backdoor chybu, která by umožňovala neoprávněný přístup k procesu vývoje.

Nemáme tedy žádný důvod se domnívat, že by některý z našich nástrojů mohl být kompromitován, a proto nevidíme žádné riziko v dalším používání našich nástrojů.

Doufáme, že vyšetřování útoku na SolarWinds bude dokončeno co nejdříve a vyjasní veškeré dezinformace ohledně našich nástrojů a naší společnosti. Rádi bychom také zopakovali, že nabízíme naši plnou spolupráci s jakýmikoli státními úřady a bezpečnostními vyšetřovateli.

Již více než 20 let je jedním z našich pilířů transparentnost, čestnost a pravdivost vůči našim zákazníkům a nic nás nebolí víc, než neopodstatněná obvinění, která poškozují naši pověst a zasévají pochybnosti našim zákazníkům.

Velmi si vážíme Vaší podpory a budeme Vás informovat o jakémkoliv pokroku v této věci.

Děkuji Vám,

Maxim Shafirov
Výkonný ředitel