CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声:Cybersecurity Dive
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ研究者は、JetBrainsの継続的インテグレーション/継続的デリバリー(CI/CD)製品「TeamCity」のオンプレミス版に新たに2つの認証回避の脆弱(ぜいじゃく)性があると警告している。
修正版を早期リリースしたにもかかわらず対応に批判 一体なぜ?
JetBrainsは、2024年3月3日(現地時間、以下同)に発表したブログ記事で、顧客に対して、サーバを最新バージョンにアップグレードするか(注1)、セキュリティパッチを適用するよう促している。しかし脆弱性を発見したRapid7は(注2)この対応を批判した。一体なぜだろうか。
サイバーセキュリティに関する情報を収集するThe Shadowserver Foundationの研究者は2024年3月5日に、共通脆弱性評価システム(CVSS)スコアが9.8である最も重大な脆弱性「CVE-2024-27198」を悪用する活動が観察され始めていると警告した(注3)(注4)。
Rapid7によると、この脆弱性はここ数カ月に公開されたTeamCityの重大な欠陥とは無関係だという(注5)。同社のケイトリン・コンドン氏(脆弱性インテリジェンスディレクター)は「これらの脆弱性は、TeamCityの以前のセキュリティ問題と直接関係しているわけではないが、TeamCityは最近、さまざまな攻撃者にとって格好のターゲットとなっている」と話した(注6)。
JetBrainsによると、この脆弱性はオンプレミス版のTeamCityで2023年11月3日までにリリースされたバージョンに影響する。
Rapid7が脆弱性に関する調査をリリースする前にTeamCityがセキュリティアップデートをリリースしたことが、今回の争点となっている。Rapid7は以前、適切な調整なしに「サイレントパッチ」を発行する慣行について懸念を表明している(注7)。
JetBrainsは2024年3月5日にブログを公開し(注8)、脆弱なアプリケーションを早期に修正する機会を顧客に提供する意向であることを説明し、「詳細な情報を公開しないつもりはなかった」と述べている。
今回の脆弱性は、JetBrainsが直面している一連のセキュリティ問題の中で最も新しいものだ。
JetBrainsは2024年2月上旬に、「CVE-2024-23917」として記載されている重大な脆弱性が、TeamCityのオンプレミス版に存在することを警告した(注9)(注10)。
2023年12月には、米国当局により、ロシアに関連するハッカーがTeamCityの重大な脆弱性を悪用してサプライチェーン攻撃を仕掛ける可能性があると警告されていた。「Midnight Blizzard」として知られるこの脅威グループは、2020年に発生したマルウェア「Sunburst」攻撃に関連しており、「SolarWinds Orion Platform」のユーザーに影響を与えた。
(注1)Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) Update to 2023.11.4 Now(JET BRAINS Blog)
(注2)CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED)(RAPID7)
(注3)Shadowserver(X)
(注4)CVE-2024-27198 Detail(NIST)
(注5)Critical Security Issue Affecting TeamCity On-Premises (CVE-2024-23917) Update to 2023.11.3 Now(JET BRAINS Blog)
(注6)Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally(CISA)
(注7)The Hidden Harm of Silent Patches(RAPID7)
(注8)Insights and Timeline: Our Approach to Addressing the Recently Discovered Vulnerabilities in TeamCity On-Premises(JET BRAINS Blog)
(注9)JetBrains warns of another critical CVE in on-premises TeamCity servers( Cybersecurity Dive)
(注10)CVE-2024-23917 Detail(NIST)
関連記事
NEXCO西日本、個人情報入りのUSBメモリの紛失を公表 発覚までの経緯は
NEXCO西日本は個人情報が保存されていた可能性があるUSBメモリを紛失したと発表した。紛失したUSBメモリは暗号化されていたが、同時にパスワードも貼り付けられていたという。
動画で学ぶセキュリティ対策 新卒用の教材にオススメのコンテンツを紹介
もうすぐ新卒入社の時期です。最近の学生は下手をすればわれわれよりもITの知識が豊富かもしれませんが、セキュリティについてはそうとも言い切れません。そこで今回は動画も含めた新入社員にお薦めのセキュリティコンテンツを紹介します。
バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけ
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。
「日本企業よ、危機感を持て」 ランサムウェアで最悪の事態に陥らないためにできること
現在報道されているランサムウェア事案は氷山の一角にすぎない。今後さらに激化が予想されるこの脅威に企業はどう対処すべきか。サイバーレジリエンスの観点からまずやるべきこと、意外と簡単にできる対策をまとめた。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「10年で80億ドルは最低限」 オラクルが日本市場に巨額投資を決めた背景
ITmediaはアイティメディア株式会社の登録商標です。