Rapid7は、TeamCity CI/CDサーバーの2つの新しい脆弱性に関する修正を公に発表する前にパッチをリリースしたことで、JetBrainsを批判している。Rapid7は2月中旬にこれらの脆弱性を報告し、JetBrainsがすぐにパッチをリリースすることを提案したが、Rapid7は迅速な公開に同意せず、静かにパッチを当てることに反対する自社の方針を指摘した。その後、JetBrainsからの連絡が途絶えた一週間以上後、Rapid7はCVE-2024-27198とCVE-2024-27199のための新しいパッチがセキュリティアドバイザリーの公開や研究者への通知なしにリリースされたことを発見した。これに対し、Rapid7からの厳しいメールの後、JetBrainsはブログで脆弱性の詳細を公開したが、調整された脆弱性公開の規範に違反した理由についての問い合わせを無視し続けた。
CVE-2024-27198は、ウェブコンポーネントに存在する代替パス問題によって引き起こされる認証バイパスの脆弱性で、CVSSスコア9.8のクリティカル評価を受けている。CVE-2024-27199もウェブコンポーネントに存在するパストラバーサル問題による認証バイパスの脆弱性で、CVSSスコア7.3のハイ評価を受けている。CVE-2024-27198は、攻撃者がTeamCityサーバーの完全な管理権を取得し、認証されていないリモートコード実行を可能にするため、特に重大な懸念事項である。一方、CVE-2024-27199は限定的な情報開示とシステム変更のみを可能にする。これらの脆弱性はオンプレミス版のTeamCityにのみ影響し、クラウド版はすでにパッチが適用されており、公開前に攻撃されることはなかった。JetBrainsによると、2023.11.3までのすべてのオンプレミスバージョンがこれらの脆弱性の影響を受けるため、保護のためにはバージョン2023.11.4へのアップグレードまたはセキュリティパッチプラグインのインストールが最善の方法である。
【ニュース解説】
JetBrains社のTeamCity CI/CDサーバーにおける2つの新しい脆弱性が発見され、その修正と公開に関するプロセスがセキュリティ業界の標準的な手法に反していたことが話題となっています。Rapid7社は、これらの脆弱性をJetBrains社に報告した後、JetBrains社が修正パッチを公に発表する前にリリースしたことを批判しています。この行動は、脆弱性の存在を悪用する攻撃者に先んじて修正を施すことを目的としているものの、セキュリティコミュニティでは透明性を重んじるため、問題視されています。
CVE-2024-27198とCVE-2024-27199は、TeamCityのウェブコンポーネントに存在する認証バイパスの脆弱性であり、前者は特に重大な影響を及ぼす可能性があります。CVE-2024-27198は、攻撃者がTeamCityサーバーを完全に制御し、認証されていないリモートコード実行を可能にするため、サプライチェーン攻撃のリスクを高めます。一方、CVE-2024-27199は、限定的な情報開示とシステム変更を可能にしますが、攻撃者がサーバーのHTTPS証明書を自身のものに置き換えることで、中間者攻撃(MITM攻撃)のリスクを生じさせます。
この問題の背景には、脆弱性の公開と修正に関するセキュリティコミュニティ内での一般的な合意があります。脆弱性が発見された場合、研究者は通常、関連する企業に報告し、一定期間内に修正を行う機会を提供します。このプロセスは「調整された脆弱性公開」と呼ばれ、脆弱性の悪用を最小限に抑えることを目的としています。しかし、JetBrains社がこのプロセスを無視し、Rapid7社の警告にもかかわらず、修正パッチを事前に公開せずにリリースしたことで、セキュリティコミュニティからの批判を受けています。
この事件は、脆弱性の適切な管理と公開の重要性を浮き彫りにしています。透明性の欠如は、信頼の損失につながり、最終的にはユーザーのセキュリティを損なう可能性があります。また、このような問題は、セキュリティ業界全体でのガイドラインや規制の必要性を示唆しています。将来的には、脆弱性の報告と修正に関するより明確な基準が設定され、企業間での協力が促進されることが期待されます。これにより、サイバーセキュリティの向上と、攻撃者による悪用のリスクの低減が図られるでしょう。
from Rapid7 throws JetBrains under the bus for 'uncoordinated vulnerability disclosure'.
