脆弱性の悪用をいつ公表すべきか 情報開示ポリシーを巡るさまざまな主張:Cybersecurity Dive
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
JetBrainsは、継続的インテグレーション/継続的デリバリー(CI/CD)製品「TeamCity」のオンプレミス版に存在する重大な脆弱(ぜいじゃく)性に関連して、顧客からさまざまな悪用行為が報告されていることを明らかにするとともに、2024年3月11日(現地時間、以下同)に公開したブログで自社の情報開示ポリシーを擁護している(注1)。
Rapid7がJetBrainsの対応を批判 政府や研究者はTeamCityの脆弱性をどう見る
JetBrainsは2024年3月はじめに(注2)、「CVE-2024-27198」(注3)、「CVE-2024-27199」という2つの認証回避の脆弱性について顧客に通知した(注4)。同社がこれらの脆弱性を公表したことで、この欠陥を2024年2月20日にJetBrainsに報告していたRapid7のセキュリティ研究者と同社との間で論争が勃発した。論争は具体的にどのようなものだったのだろうか。
JetBrainsは2024年3月4日にTeamCityのアップデート版をリリースし、最新ビルドにアップグレードできなかった顧客向けにセキュリティパッチを提供した。しかしRapid7は、JetBrainsのパッチがリリースされたわずか数時間後に独自のレポートを発表した。
JetBrainsの広報担当者は、電子メールで「私たちはパッチやアップデートが間に合わず、サーバが危険にさらされた顧客から複数の報告を受けている」と述べた。
Rapid7はJetBrainsがセキュリティ企業と適切な調整をすることなくパッチをリリースしたことを批判した(注5)。Rapid7は2024年3月11日に、電子メールを通じて、自社の情報公開ポリシーを支持すると主張した。
複数の業界関係者によると、悪用が続いていることは明らかだ。しかし、ここ数日でペースは落ち始めている。
サイバーセキュリティに関する情報を収集する非営利団体のThe Shadowserver Foundationは、2024年3月4日からCVE-2024-27198に対する悪用を報告していた。同団体の関係者は、同年3月6日時点で1182件(注6)、同年3月10日時点で約700件の脆弱なインスタンスを報告している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISAは2024年3月7日に、「CVE-2024-27198」を「既知の悪用された脆弱性カタログ」(Known Exploited Vulnerabilities Catalog)に追加した(注7)。CISAは、JetBrainsの緩和のためのガイダンスを確認し、セキュリティアップグレードを適用するよう組織に促した。
セキュリティ事業を営むGuidePointの研究者によると、脅威グループの「BianLian」は、脆弱なTeamCityサーバに最初にアクセスするために、「CVE-2024-27198」と「CVE-2023-42793」を悪用した。同グループはその後、「PowerShell」を使用して新しいバックドアを実装した(注8)。
(注1)Preventing Exploits: JetBrains’ Ethical Approach to Vulnerability Disclosure(JETBRAINS)
(注2)Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) Update to 2023.11.4 Now(JETBRAINS)
(注3)CVE-2024-27198 Detail(NIST)
(注4)CVE-2024-27199 Detail(NIST)
(注5)JetBrains TeamCity a ripe attack target as more vulnerabilities emerge(Cybersecurity Dive)
(注6)@Shadowserver(X)
(注7)CISA Adds One Known Exploited JetBrains Vulnerability, CVE-2024-27198, to Catalog(CISA)
(注8)BianLian GOs for PowerShell After TeamCity Exploitation(GUIDEPOINT)
関連記事
Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。
Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。
Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。
さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「AIはすぐ進化するから飛びつくのはリスク」 それを超えるメリットとマイナスの消し方
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
ITmediaはアイティメディア株式会社の登録商標です。