JetBrains TeamCityのクリティカルな脆弱性がソフトウェア供給チェーンに危険をもたらしている。クラウド版のTeamCityは既に新しい脆弱性に対して更新されているが、オンプレミス版は直ちにパッチを適用する必要がある。この脆弱性は、攻撃者が認証をバイパスし、TeamCityサーバーの管理者権限を取得することを可能にする。これらの脆弱性はCVE-2024-27198とCVE-2024-27199として追跡されており、Rapid7によって2月に発見された。
TeamCityは、ソフトウェア開発のCI/CDパイプラインを管理するツールであり、Citibank、Nike、Ferrariを含む30,000の組織で使用されている。CI/CD環境はソフトウェア供給チェーンにとって基本的であり、高度な持続的脅威(APT)グループにとって魅力的な攻撃ベクトルである。2023年末、ロシアの国家支援グループAPT29がJetBrains TeamCityの類似の脆弱性を積極的に悪用していると世界中の政府が警告した。この事態は、迅速な脆弱性管理と積極的な脅威検出戦略の重要性を強調している。
【ニュース解説】
JetBrains TeamCityのソフトウェア開発プラットフォームにおいて、新たに発見された二つのクリティカルな脆弱性が、ソフトウェア供給チェーンに重大な危険をもたらしています。これらの脆弱性は、攻撃者が認証をバイパスし、TeamCityサーバーの管理者権限を不正に取得することを可能にします。クラウド版のTeamCityは既にこれらの脆弱性に対して更新されていますが、オンプレミス版を使用している組織は、直ちにパッチを適用する必要があります。
TeamCityは、ソフトウェア開発のCI/CDパイプラインを管理する重要なツールであり、世界中の30,000の組織で使用されています。CI/CDパイプラインは、コードのビルド、テスト、デプロイメントを行うプロセスであり、ソフトウェア供給チェーンの核心部分を形成しています。このため、CI/CD環境は、高度な持続的脅威(APT)グループなどの攻撃者にとって魅力的な攻撃ベクトルとなっています。
この問題の深刻さは、2023年末にロシアの国家支援グループAPT29が、JetBrains TeamCityの類似の脆弱性を悪用してソフトウェア供給チェーン攻撃を行っていた事例によっても示されています。このような攻撃は、開発中のソフトウェアの整合性やセキュリティに直接影響を及ぼし、組織全体のデジタル資産を脅かす可能性があります。
このニュースから学ぶべき重要なポイントは、迅速な脆弱性管理と積極的な脅威検出戦略の必要性です。組織は、脆弱性が公表された直後にパッチを適用すること、また、未知の脅威に対しても迅速に対応できるように、システムとプロセスを常に最新の状態に保つことが求められます。
さらに、この事態は、ソフトウェア開発プロセスにおけるセキュリティの重要性を再認識させます。開発からデプロイメントに至るまでの各段階でセキュリティを考慮し、継続的なセキュリティテストと監視を行うことが、ソフトウェア供給チェーンを保護する上で不可欠です。
最後に、このような脆弱性が発見された際には、情報共有と協力が重要です。セキュリティコミュニティ内での情報共有を通じて、脆弱性の早期発見と対策の迅速な実施が可能になります。組織は、外部のセキュリティ研究者や他の組織との協力を積極的に進め、共通の脅威に対して一致団結して対応することが求められます。
from Critical TeamCity Bugs Endanger Software Supply Chain.
