事故摘要

TeamCity CVE-2023-42793 事件顯示 CI 平台入口漏洞會直接衝擊建置與交付信任鏈。

本案例的演示焦點:CI 管理介面 auth bypass → build / artifact 接管 → 下游交付污染的 CI-entrypoint supply-chain 鏈。跟 2024 雙漏洞事件互補、共同說明 CI 平台暴露面治理。

攻擊路徑

  1. 掃描並利用 TeamCity 管理入口漏洞。
  2. 取得 CI 管理權限或執行能力。
  3. 影響 build artifact 與下游部署流程。

失效控制面

  • CI 管理介面暴露面過高。
  • 建置輸出完整性驗證不足。
  • 平台事件與下游部署凍結流程連動不足。

如果 workflow 少一步會發生什麼

若少了「CI 平台事件觸發部署凍結」步驟,受污染 artifact 可能持續流向正式環境。

可落地的 workflow 檢查點

  • 發布前:建立 CI 管理入口隔離與最小存取權限(內網 only、強制 MFA),mechanism 是讓 entrypoint 漏洞先碰到網段邊界。
  • 日常:對 build pipeline 建立 symptom-based alert(unauthorized config change、異常 build trigger)。
  • 事故中:暫停發佈、驗證 artifact、按優先級恢復(前提是 artifact 有 build provenance、可追溯產生時間)。

從本案例到實作的 chain

本案例是事故敘事 layer,沿三步 chain 進入 implementation:

供應鏈類事故不對應紅隊 problem-cards,主要 chain 直接從控制面起步。

來源

來源類型可引用範圍
blog.jetbrains.com官方受影響版本、漏洞細節、修補時序
cisa.gov政府/監管受影響範圍、跨機構處置建議
nvd.nist.gov/CVE-2023-42793技術分析CVE 細節、auth bypass 機制