JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
JetBrainsは、継続的インテグレーション/継続的デリバリー(CI/CD)製品「TeamCity」のオンプレミス版に存在する重大な脆弱(ぜいじゃく)性に関連して、顧客からさまざまな悪用行為が報告されていることを明らかにするとともに、2024年3月11日(現地時間、以下同)に公開したブログで自社の情報開示ポリシーを擁護している(注1)。
JetBrainsは2024年3月はじめに(注2)、「CVE-2024-27198」(注3)、「CVE-2024-27199」という2つの認証回避の脆弱性について顧客に通知した(注4)。同社がこれらの脆弱性を公表したことで、この欠陥を2024年2月20日にJetBrainsに報告していたRapid7のセキュリティ研究者と同社との間で論争が勃発した。論争は具体的にどのようなものだったのだろうか。
JetBrainsは2024年3月4日にTeamCityのアップデート版をリリースし、最新ビルドにアップグレードできなかった顧客向けにセキュリティパッチを提供した。しかしRapid7は、JetBrainsのパッチがリリースされたわずか数時間後に独自のレポートを発表した。
JetBrainsの広報担当者は、電子メールで「私たちはパッチやアップデートが間に合わず、サーバが危険にさらされた顧客から複数の報告を受けている」と述べた。
Rapid7はJetBrainsがセキュリティ企業と適切な調整をすることなくパッチをリリースしたことを批判した(注5)。Rapid7は2024年3月11日に、電子メールを通じて、自社の情報公開ポリシーを支持すると主張した。
複数の業界関係者によると、悪用が続いていることは明らかだ。しかし、ここ数日でペースは落ち始めている。
サイバーセキュリティに関する情報を収集する非営利団体のThe Shadowserver Foundationは、2024年3月4日からCVE-2024-27198に対する悪用を報告していた。同団体の関係者は、同年3月6日時点で1182件(注6)、同年3月10日時点で約700件の脆弱なインスタンスを報告している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISAは2024年3月7日に、「CVE-2024-27198」を「既知の悪用された脆弱性カタログ」(Known Exploited Vulnerabilities Catalog)に追加した(注7)。CISAは、JetBrainsの緩和のためのガイダンスを確認し、セキュリティアップグレードを適用するよう組織に促した。
セキュリティ事業を営むGuidePointの研究者によると、脅威グループの「BianLian」は、脆弱なTeamCityサーバに最初にアクセスするために、「CVE-2024-27198」と「CVE-2023-42793」を悪用した。同グループはその後、「PowerShell」を使用して新しいバックドアを実装した(注8)。
(注1)Preventing Exploits: JetBrains’ Ethical Approach to Vulnerability Disclosure(JETBRAINS)
(注2)Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) Update to 2023.11.4 Now(JETBRAINS)
(注3)CVE-2024-27198 Detail(NIST)
(注4)CVE-2024-27199 Detail(NIST)
(注5)JetBrains TeamCity a ripe attack target as more vulnerabilities emerge(Cybersecurity Dive)
(注6)@Shadowserver(X)
(注7)CISA Adds One Known Exploited JetBrains Vulnerability, CVE-2024-27198, to Catalog(CISA)
(注8)BianLian GOs for PowerShell After TeamCity Exploitation(GUIDEPOINT)
© Industry Dive. All rights reserved.