Ein Update zu SolarWinds

Read this post in other languages:

Bitte lesen Sie unbedingt auch den Folgebeitrag vom 8. Januar 2021

Wir möchten unseren Kunden ein weiteres Update in Bezug auf die SolarWinds-Sicherheitsverletzung geben. An dieser Stelle wiederholen wir die Nachricht, die wir gestern gepostet haben – wir haben weder eine Rolle in dieser Sicherheitsverletzung gespielt, noch sind uns irgendwelche Schwachstellen in TeamCity bekannt, die zu dieser Sicherheitsverletzung geführt haben könnten. Wir haben auch keine Kenntnis von einer laufenden Untersuchung.

Was ist TeamCity und warum ist es in den Nachrichten?
TeamCity ist unser Tool für Continuous Integration und Delivery. Es dient dazu, die Erstellung, das Testen und optional das Deployment von Software zu automatisieren. Derzeit ist es generell nur als selbstgehostete Standalone-Anwendung verfügbar, d. h. der Endbenutzer ist für die Installation, Konfiguration und Wartung des Systems verantwortlich, einschließlich aller Sicherheits- und Zugriffseinstellungen.

Basierend auf den öffentlich zugänglichen Informationen (die bisher die einzigen sind, die uns bekannt sind, da sich weder SolarWinds noch eine Regierungsbehörde mit Details zu der Sicherheitsverletzung an uns gewandt haben), scheint es, dass der Angriff auf SolarWinds auf deren Build-Prozess abzielte (was in den Medien als Supply-Chain-Angriff bezeichnet wird). SolarWinds verwendet während des Build-Prozesses unter anderen Tools TeamCity. Zum jetzigen Zeitpunkt gibt es jedoch, wie auch die Aussagen von SolarWinds’ eigenem Sprecher belegen, keine Beweise dafür, dass TeamCity in irgendeiner Weise daran beteiligt war.

“SolarWinds nutzt, wie viele andere Unternehmen auch, ein Produkt von JetBrains namens TeamCity, um die Entwicklung seiner Software zu unterstützen. Wir überprüfen alle internen und externen Tools als Teil unserer Untersuchungen, die noch nicht abgeschlossen sind”, sagte ein Sprecher von SolarWinds. “Das Unternehmen hat keine Beweise gesehen, die den Sicherheitsvorfall mit einer Kompromittierung des TeamCity-Produkts in Verbindung bringen”, sagte er.

zitiert vom The Wall Street Journal.

Die Tatsache, dass TeamCity eines der Tools ist, die von SolarWinds während des Build-Prozesses verwendet wird, hat unserer Meinung nach zu der Berichterstattung geführt.

Wurde JetBrains oder TeamCity kompromittiert?
Bis heute haben wir keine Kenntnis davon, dass TeamCity oder JetBrains in irgendeiner Weise kompromittiert wurden, die zu einer solchen Situation führen würde. Darüber hinaus führen wir nicht nur regelmäßige Audits unserer Software durch, sondern organisieren jetzt ein weiteres unabhängiges Sicherheitsaudit von TeamCity. Sollten wir eine Schwachstelle im Produkt finden, die dazu geführt haben könnte, werden wir in dieser Angelegenheit vollkommen transparent sein und unsere Kunden im Rahmen unserer Sicherheits- und Datenschutzrichtlinien informieren.

Es ist auch erwähnenswert, dass wir selbst weder SolarWinds Orion noch irgendeine andere Software von ihnen verwenden.

Hat dies Auswirkungen auf Ihre IDEs und andere Tools?
Unsere IDEs sind eigenständige Tools und haben keinen Bezug zu TeamCity, außer der Tatsache, dass wir unsere eigene Installation von TeamCity verwenden, um sie zu bauen. Wir haben keine Beweise, die darauf hindeuten, dass einer unserer Server oder unsere Standalone-Tools manipuliert wurden, und ähnlich wie bei TeamCity führen wir regelmäßige Sicherheitsaudits für unsere Tools und Systeme durch.

Bin ich sicher bei der Verwendung von JetBrains-Tools?
Keiner der bisher veröffentlichten Artikel, einschließlich derjenigen, die sich auf Untersuchungen des FBI beziehen, sowie Zitate von SolarWinds selbst, zeigen irgendwelche Beweise dafür, dass TeamCity irgendeine Schwachstelle oder Hintertür hat, die einen nicht autorisierten Zugriff auf den Build-Prozess ermöglicht hätte.

Daher haben wir keine Erkenntnisse oder Beweise, die darauf hindeuten, dass eines unserer Tools kompromittiert wurde, und glauben daher nicht, dass Sie durch die weitere Verwendung unserer Tools einem Risiko ausgesetzt sind.

Wir hoffen, dass die Untersuchung mit SolarWinds so schnell wie möglich abgeschlossen wird und jegliche Falschdarstellung unserer Tools und unseres Unternehmens ausräumt. Wir möchten auch noch einmal betonen, dass wir unsere volle Kooperation mit allen Regierungsbehörden und Sicherheitsforschern anbieten.

Seit über 20 Jahren ist es eines unserer Ziele, transparent, ehrlich und wahrheitsgemäß mit unseren Kunden umzugehen, und nichts trifft uns mehr, als unbegründete Anschuldigungen zu sehen, die unseren Ruf schädigen und unsere Kunden in Zweifel ziehen.

Wir wissen Ihre Unterstützung sehr zu schätzen und werden Sie über alle Fortschritte auf dem Laufenden halten.

Danke.

Maxim Shafirov
Chief Executive Officer

image description