JetBrainsのTeamCity CI/CDプラットフォームに対する攻撃が、同社が3月3日に脆弱性を公表した直後から始まった。攻撃にはランサムウェアの配布を目的としたキャンペーンや、将来的な利用のために管理者ユーザーを作成する行為が含まれる。脆弱性の一つ(CVE-2024-27198)は、認証を回避する問題で、CVSS評価でほぼ最大の9.8を記録し、TeamCityのWebコンポーネントに影響を与える。この脆弱性を利用すると、遠隔からの未認証の攻撃者が任意のコードを実行し、影響を受けるインスタンスを完全に制御できる。もう一つの脆弱性(CVE-2024-27199)も同じWebコンポーネントに影響を与える認証回避の問題で、情報漏洩やシステム変更を「限定的に」可能にする。
TeamCityは約30,000の組織によって使用されており、ソフトウェアプロジェクトのビルド、テスト、デプロイメントプロセスを自動化するためのCI/CD環境である。これらの脆弱性により、攻撃者が組織のソフトウェアビルドやプロジェクトを制御し、大規模なサプライチェーン攻撃を開始する可能性があると懸念されている。
Rapid7の主任セキュリティ研究者によると、新たな脆弱性を武器に、攻撃者はShodanやFOFAのような検索エンジンを使用して露出したTeamCityサーバーを探すことができる。CVE-2024-27198は単一のHTTPリクエストを介して利用可能で、攻撃者は新しい管理者ユーザーアカウントやアクセストークンをシステム上に作成し、サーバーを完全に制御することができる。
CrowdStrikeの脅威ハンティンググループのディレクターは、脆弱性を利用してJasminの変更版を展開した複数のインスタンスを観察したと報告している。また、LeakIXは、Web上に露出したTeamCityインスタンスが1,711件あり、そのうち1,442件がCVE-2024-27198を介して不正なユーザーアカウントが作成された兆候を示していると報告した。ShadowServer.orgは、JetBrainsが脆弱性を公表した翌日からCVE-2024-27198の悪用活動を観察している。
【ニュース解説】
JetBrainsのTeamCity CI/CDプラットフォームに対する大規模な悪用が、同社が脆弱性を公表した直後から始まっています。この攻撃には、ランサムウェアの配布や将来的な利用のために管理者ユーザーを作成する行為が含まれています。特に重大な脆弱性(CVE-2024-27198)は、認証を回避して任意のコードを実行し、影響を受けるインスタンスを完全に制御できるというものです。もう一つの脆弱性(CVE-2024-27199)も認証回避の問題で、情報漏洩やシステム変更を「限定的に」可能にします。
TeamCityは、ソフトウェアプロジェクトのビルド、テスト、デプロイメントプロセスを自動化するために約30,000の組織によって使用されています。これらの脆弱性が悪用されることにより、攻撃者が組織のソフトウェアビルドやプロジェクトを制御し、大規模なサプライチェーン攻撃を開始する可能性があると懸念されています。
このような攻撃は、ソフトウェアの供給チェーン全体に影響を及ぼす可能性があり、組織だけでなく、その組織の製品やサービスを利用するエンドユーザーにも深刻なセキュリティリスクをもたらす可能性があります。また、攻撃者が管理者アカウントを作成することにより、影響を受けたインスタンスの全リソースにアクセスし、変更することが可能になります。これにより、攻撃者は悪意のあるコードを組み込んだり、システムを完全に制御したりすることができます。
この問題に対処するためには、TeamCityのユーザーは速やかにパッチを適用し、システムのセキュリティを強化する必要があります。また、組織は定期的なセキュリティ監査と脆弱性評価を行い、未知の脆弱性に対するリスクを最小限に抑えることが重要です。
この事件は、ソフトウェア開発ツールとプラットフォームのセキュリティが、組織のセキュリティ戦略において重要な要素であることを改めて浮き彫りにしています。また、サプライチェーン攻撃のリスクが高まっている現代において、開発プロセス全体のセキュリティを確保することの重要性を示しています。組織は、セキュリティを継続的に改善し、新たな脅威に迅速に対応できる体制を整えることが求められています。
from JetBrains TeamCity Mass Exploitation Underway, Rogue Accounts Thrive.
