TeamCityランサムウェア警報：露出サーバーが攻撃者の標的に

Last Updated on 2024-07-15 04:44 by 門倉 朋宏

JetBrainsのTeamCityがランサムウェア攻撃の標的になっている。セキュリティ研究者たちは、TeamCityの最新の脆弱性を利用した攻撃が活発に行われており、場合によってはランサムウェアが展開されていることを報告している。CrowdStrikeの脅威ハンティングオペレーションズディレクター、Brody Nisbetは、Jasminランサムウェアの改変版を使用した攻撃の兆候があると述べた。JasminはもともとWannaCryを模倣し、ランサムウェア攻撃をシミュレートするためのオープンソースのレッドチーミングツールであるが、過去に悪意ある目的で改変された例がある。

Rapid7とJetBrainsの間で脆弱性の公開が調整されず、攻撃者が実行可能なエクスプロイトを開発するために必要な情報がパッチがリリースされた同日に公開された。この脆弱性により、TeamCityのサーバーがインターネットに露出し、攻撃に対して脆弱な状態にある。Shadowserverによる最新のデータによると、1,182台のTeamCityサーバーが依然としてインターネットに露出し、セキュリティ問題に対して脆弱である。米国とドイツが露出サーバー数で最も多い。

2023.11.4以前のバージョンをオンプレミスで運用しているTeamCityのユーザーには、直ちにパッチを適用することが勧められている。ソフトウェアサプライチェーン攻撃への潜在的なリスクが高いため、影響を受ける製品の性質とエクスプロイトの容易さが懸念されている。

【ニュース解説】

JetBrainsのTeamCityがランサムウェア攻撃の標的になっているという報告がセキュリティ研究者から相次いでいます。TeamCityは、開発プロセスの自動化を支援するCI/CD（継続的インテグレーション/継続的デリバリー）サーバーであり、ソフトウェア開発の効率化に広く利用されています。しかし、最近発見された脆弱性を悪用した攻撃が活発化しており、特にJasminランサムウェアの改変版を使用した攻撃が確認されています。Jasminは本来、組織がランサムウェア攻撃をシミュレートするためのツールですが、悪意ある目的で改変されることがあります。

この問題の根本には、Rapid7とJetBrains間での脆弱性情報の公開調整が不十分だったことがあります。脆弱性の詳細とパッチが同時に公開されたため、攻撃者がエクスプロイトを開発しやすい状況が生まれました。この結果、インターネットに露出したTeamCityサーバーが攻撃のリスクにさらされています。特に、米国とドイツには多くの露出サーバーが存在しており、注意が必要です。

この状況は、ソフトウェアサプライチェーン攻撃のリスクを高めています。攻撃者がCI/CDサーバーを乗っ取ることで、開発中のソフトウェアに悪意のあるコードを注入することが可能になり、結果として多くのユーザーが影響を受ける可能性があります。そのため、TeamCityを使用している組織は、速やかにパッチを適用し、セキュリティ対策を強化することが求められます。

この事件は、脆弱性情報の取り扱いと公開のタイミングに関するセキュリティコミュニティ内での議論を再燃させています。一方で、脆弱性情報を迅速に公開し、広く知らせることの重要性が強調される一方で、攻撃者に利用される前に対策を講じるための時間を確保することもまた重要です。このような状況下では、脆弱性情報の公開ポリシーを見直し、セキュリティ研究者、ベンダー、ユーザー間での協力体制を強化することが、今後の課題となるでしょう。

from JetBrains TeamCity under attack by ransomware thugs after disclosure mess.