重大セキュリティ脆弱性、米国が警告：JetBrains TeamCityが攻撃者の標的に

Last Updated on 2024-03-08 23:59 by 荒木 啓介

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、JetBrains TeamCity On-Premisesソフトウェアに影響する重大なセキュリティ欠陥が積極的に悪用されているとして、その欠陥を既知の悪用された脆弱性（KEV）カタログに追加した。この脆弱性はCVE-2024-27198（CVSSスコア：9.8）として追跡され、認証を回避するバグであり、遠隔地からの認証されていない攻撃者によって脆弱なサーバーが完全に侵害される可能性がある。JetBrainsは、この問題とCVE-2024-27199（CVSSスコア：7.3）という別の中程度の重大性の認証回避脆弱性を今週初めに対処した。後者は限定的な情報開示とシステム変更を可能にする。

これらの脆弱性により、HTTP(S)アクセスを持つ未認証の攻撃者がTeamCityサーバーの認証チェックを回避し、そのTeamCityサーバーの管理権限を獲得する可能性がある。CrowdStrikeとLeakIXによると、攻撃者はこれらの脆弱性を悪用してJasminランサムウェアを配布したり、数百の不正なユーザーアカウントを作成したりしている。Shadowserver Foundationは、2024年3月4日から悪用試みが検出されたと報告している。GreyNoiseによる統計では、CVE-2024-27198が脆弱性の公開直後から十数個のユニークなIPアドレスから広範囲に悪用されていることが示されている。積極的な悪用が明らかになったことを受け、オンプレミス版のソフトウェアを実行しているユーザーには、可能な限り早くアップデートを適用して脅威を軽減するよう勧告されている。連邦機関は、2024年3月28日までにそのインスタンスをパッチすることが要求されている。

【ニュース解説】

米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）が、JetBrains TeamCity On-Premisesソフトウェアに存在する重大なセキュリティ脆弱性が積極的に悪用されていると警告しました。この脆弱性はCVE-2024-27198として識別され、最も深刻なレベルの脅威であることを示すCVSSスコア9.8を受けています。具体的には、認証を回避するバグが原因で、遠隔地からの認証されていない攻撃者が脆弱なサーバーを完全に侵害する可能性があるとされています。

この脆弱性を悪用することで、攻撃者はTeamCityサーバーの管理権限を不正に取得できるようになります。これにより、機密情報の漏洩、不正なユーザーアカウントの作成、ランサムウェアの配布など、さまざまなサイバー攻撃が可能になります。実際に、CrowdStrikeとLeakIXの報告によると、攻撃者はJasminランサムウェアの配布や数百の不正なユーザーアカウントの作成にこれらの脆弱性を利用しています。

このような深刻な脅威に対処するため、CISAはオンプレミス版のソフトウェアを使用しているユーザーに対し、速やかにアップデートを適用し、脆弱性を修正するよう強く勧告しています。連邦機関に対しては、特定の期限（2024年3月28日）までにパッチを適用することが義務付けられています。

この事例は、ソフトウェアのセキュリティ脆弱性がどのようにして組織のセキュリティを脅かす可能性があるかを浮き彫りにしています。特に、認証を回避するタイプの脆弱性は、攻撃者にとって非常に魅力的な標的となります。これは、システムへのアクセスを容易にし、権限を不正に拡大することができるからです。

このような脆弱性の存在は、ソフトウェア開発者にとってセキュリティ対策の重要性を再認識させるとともに、組織には定期的なセキュリティチェックと迅速なアップデート適用の必要性を強調しています。また、サイバーセキュリティの観点からは、脆弱性情報の共有と、そのような情報に基づいた迅速な対応が、サイバー攻撃の被害を最小限に抑える鍵となります。

from CISA Warns of Actively Exploited JetBrains TeamCity Vulnerability.