JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ研究者は、JetBrainsの継続的インテグレーション/継続的デリバリー(CI/CD)製品「TeamCity」のオンプレミス版に新たに2つの認証回避の脆弱(ぜいじゃく)性があると警告している。
JetBrainsは、2024年3月3日(現地時間、以下同)に発表したブログ記事で、顧客に対して、サーバを最新バージョンにアップグレードするか(注1)、セキュリティパッチを適用するよう促している。しかし脆弱性を発見したRapid7は(注2)この対応を批判した。一体なぜだろうか。
サイバーセキュリティに関する情報を収集するThe Shadowserver Foundationの研究者は2024年3月5日に、共通脆弱性評価システム(CVSS)スコアが9.8である最も重大な脆弱性「CVE-2024-27198」を悪用する活動が観察され始めていると警告した(注3)(注4)。
Rapid7によると、この脆弱性はここ数カ月に公開されたTeamCityの重大な欠陥とは無関係だという(注5)。同社のケイトリン・コンドン氏(脆弱性インテリジェンスディレクター)は「これらの脆弱性は、TeamCityの以前のセキュリティ問題と直接関係しているわけではないが、TeamCityは最近、さまざまな攻撃者にとって格好のターゲットとなっている」と話した(注6)。
JetBrainsによると、この脆弱性はオンプレミス版のTeamCityで2023年11月3日までにリリースされたバージョンに影響する。
Rapid7が脆弱性に関する調査をリリースする前にTeamCityがセキュリティアップデートをリリースしたことが、今回の争点となっている。Rapid7は以前、適切な調整なしに「サイレントパッチ」を発行する慣行について懸念を表明している(注7)。
JetBrainsは2024年3月5日にブログを公開し(注8)、脆弱なアプリケーションを早期に修正する機会を顧客に提供する意向であることを説明し、「詳細な情報を公開しないつもりはなかった」と述べている。
今回の脆弱性は、JetBrainsが直面している一連のセキュリティ問題の中で最も新しいものだ。
JetBrainsは2024年2月上旬に、「CVE-2024-23917」として記載されている重大な脆弱性が、TeamCityのオンプレミス版に存在することを警告した(注9)(注10)。
2023年12月には、米国当局により、ロシアに関連するハッカーがTeamCityの重大な脆弱性を悪用してサプライチェーン攻撃を仕掛ける可能性があると警告されていた。「Midnight Blizzard」として知られるこの脅威グループは、2020年に発生したマルウェア「Sunburst」攻撃に関連しており、「SolarWinds Orion Platform」のユーザーに影響を与えた。
(注1)Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) Update to 2023.11.4 Now(JET BRAINS Blog)
(注2)CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED)(RAPID7)
(注3)Shadowserver(X)
(注4)CVE-2024-27198 Detail(NIST)
(注5)Critical Security Issue Affecting TeamCity On-Premises (CVE-2024-23917) Update to 2023.11.3 Now(JET BRAINS Blog)
(注6)Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally(CISA)
(注7)The Hidden Harm of Silent Patches(RAPID7)
(注8)Insights and Timeline: Our Approach to Addressing the Recently Discovered Vulnerabilities in TeamCity On-Premises(JET BRAINS Blog)
(注9)JetBrains warns of another critical CVE in on-premises TeamCity servers( Cybersecurity Dive)
(注10)CVE-2024-23917 Detail(NIST)
© Industry Dive. All rights reserved.