In-the-Wild Exploitation Expected for Critical TeamCity Flaw Allowing Server Takeover
2023/09/25 SecurityWeek — TeamCity CI/CD サーバに存在する致命的な脆弱性により、未認証でのリモートからの悪用/任意のコード実行/脆弱なサーバの不正制御などが発生する可能性があるという。JetBrains が開発した TeamCity は、ビルド管理および継続的インテグレーションのための汎用プラットフォームであり、オンプレミス/クラウドの双方で利用が可能である。先日に確認された深刻な認証バイパスの脆弱性 CVE-2023-42793 (CVSS:9.8) は、オンプレミス版の TeamCity に影響を及ぼすと説明されている。
この脆弱性を特定した Sonar Source によると、HTTP(S) 接続を介して、ユーザーによる操作を必要とせずに、攻撃者に悪用される可能性があるという。
Sonar Source は、「TeamCity の攻撃に成功した攻撃者は、ソースコードを盗むだけではなく、保存されているサービスのシークレットや秘密鍵も盗み出せる。さらに悪いことに、ビルド・プロセスにアクセスすることで、悪意のコードを注入することも可能だ。その結果として、リリースされるソフトウェアは完全性を損ない、すべてのダウンストリーム・ユーザーに対して影響を与える可能性が生じる」と指摘している。
TeamCity のような CI/CD サーバは、ソフトウェア開発プロセスを自動化するために、組織内のソースコードアクセスし、また、ビルド/テスト、デプロイ・プロセスに関連する機密情報にもアクセスする。
JetBrains によると、バージョン 2023.05.3 以下の TeamCity オンプレミス・インスタンスが、この脆弱性の影響を受けるという。ただし、TeamCity クラウドは、この脆弱性の影響を受けない。
なお、TeamCity バージョン 2023.05.4 により、この脆弱性は対処されている。さらに JetBrains は、TeamCity バージョン 8.0 以上用の、セキュリティ・パッチ・プラグインをリリースしたが、修正のバックポートは考えていないという。
JetBrains は、「このセキュリティ・パッチ・プラグインは、上記の RCE 脆弱性のみに対応する。ただし、その他のセキュリティ・アップデートを適用するためには、最新バージョンのアップデートが必要となる」と説明している。
インターネットからアクセス可能な TeamCity サーバに関しては、直ちにパッチ適用を行うことが推奨される。また、直ちにパッチ適用できない場合には、インストールされるまでの間は、アクセスが不可能な状態にする必要がある。
JetBrains と Sonar の両社は、脆弱性に関する技術的な詳細について、現時点では公表していない。Sonar によると、このバグの悪用は容易であり、今後において、野放し状態での悪用が観察される可能性が高いという。
CI/CD (continuous integration and continuous delivery) に関連する脆弱性が、JetBrains の TeamCity で発生したとのことです。つい先日の 2023/09/19 にも、「GitLab パイプラインの脆弱性 CVE-2023-5009:ハイリスク・シナリオの可能性」という記事がありました。また、2022/02/16 には「ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて」という記事もありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.