JetBrains TeamCity の脆弱性 CVE-2023-42793：ロシアの APT29 が標的にしている

Russian hackers target unpatched JetBrains TeamCity servers

2023/12/14 HelpNetSecurity — 米国／英国／ポーランドのサイバー・セキュリティ機関と法執行当局の警告によると、2023年9月以降においてロシア政府に支援されたハッカー集団が、JetBrains TeamCity の脆弱性 CVE-2023-42793 を悪用しているとのことだ。この攻撃では、インターネットに露出した、パッチ未適用の JetBrains Team Cityサーバが標的にされているという。ロシアの APT29 (別名 CozyBear／Midnight Blizzard) は、ロシア対外情報庁 (SVR) に関連していると考えられ、2013年から活動しているグループである。

ターゲット

APT29 の主目的は、対外情報の収集にあるとされ、その標的として挙げられるのは、政府機関／政治団体／外交機関／シンクタンクに加えて、生物医学／エネルギー／IT などの企業であり、多種多様な組織を標的としている。

それぞれの国のセキュリティ機関は、「2021年4月の時点で米国政府は、SolarWinds などの IT 企業の顧客を標的としたサプライチェーン攻撃が、SVR に帰属していると判断した。この帰属は、遅くとも 2018年以降において、SVR がサイバー戦術の範囲を拡大し、IT 企業へと標的拡大したことを示すものである。また、これらの標的の一部は、さらなるサイバー作戦のための橋頭堡としても悪用されてきた」と説明している。

彼らは、「TeamCity サーバをホストするネットワークを標的にするという、今回の新たな作戦において SVR は、IT 系企業を標的にするという手段を明白に継続している。そして、今回の被害者たちが、インターネット・アクセスが可能なパッチ未適用の JetBrains TeamCity ユーザーであることを除けば、なんらかのパターンや傾向が重複するというものでもない」と指摘している。

これらの攻撃は、場当たり的なものであり、米国／欧州／アジア／オーストラリアなどの、多様な組織が攻撃されているようだ。例を挙げると、エネルギー業界／医療機器／医療関連／従業員監視／財務管理／マーケティング／ビデオゲームなどのソフトウェアを提供する企業や、ホスティング企業、ツールメーカー、大小の IT 企業などが標的にされている。

Fortinet によると、米国を拠点とする生物医学製造業界の組織で、先日に発生したインシデントも、APT29 の仕業が疑われているという。

攻撃

これらの最近の攻撃で APT29 は、TeamCity CI/CD プラットフォームの認証バイパスの脆弱性 CVE-2023-42793 を悪用し、そこからリモートコード実行 (RCE) へと繋げている可能性があるという。

この脆弱性に対するパッチは、2023年9月中旬の時点でリリースされているが、Shadowserver Foundation によると、パッチ未適用の JetBrains TeamCity インスタンスは、グローバルで 800 近く存在しているという。

この脆弱性を悪用してイニシャル・アクセスを獲得した APT29 は、ホストとネットワークの偵察／特権昇格／横方向への移動／バックドの展開などにより、侵害したネットワーク環境での長期的なアクセスを確保するための措置を講じている。さらに、このハッカーは、検知を回避するために多くの戦術を用いている。

各国のセキュリティ機関は、「ソフトウェア開発者たちは TeamCity を使用して、ソフトウェアのコンパイル／ビルド／テスト／リリースを管理／自動化している。もし、TeamCity サーバを脅威アクターが侵害すると、そのソフトウェアのソースコード／署名証明書／コンパイルプロセス／デプロイメントプロセスを破壊する能力を持つことになる。

ただし、現時点の APT29 は、ソフトウェア開発者へのアクセスを介した、顧客ネットワークにアクセスを行っていないという。

侵害の証拠をチェックする

それぞれの機関のアドバイザリには、IoC (indicators of compromise) 指標として、ログファイル／ファイル／IP アドレス などが記載され、攻撃者が使用した手法が示されている。

TeamCity サーバのパッチ適用が間に合わなかった組織のセキュリティ・チームは、APT29 などの攻撃者による侵入の兆候、チェックする必要がある。

Microsoft によると、2023年10月上旬以降において、北朝鮮に支援されたハッキング・グループ Lazarus／Andariel も、TeamCity の脆弱性 CVE-2023-42793 を悪用して、標的とするネットワークへの恒久的なアクセスを確保し、さらなる作戦で悪用しているという。

UPDATE (December 14, 2023, 10:30 a.m. ET)

JetBrains のセキュリティ責任者である Yaroslav Russkih は、「2023年の初頭に、この脆弱性について知らされ、2023年9月18日にリリースされた TeamCity 2023.05.4 アップデートで修正した。それ以来、私たちから顧客へとダイレクトに連絡をとり、また、公開の投稿などを行うことで、ソフトウェアをアップデートするよう促してきた」と述べている。

彼は、「アップグレードが間に合わなかった、旧バージョンの TeamCity を使用している組織向けには、専用のセキュリティ・パッチもリリースした。顧客における、ビルド・パイプラインのセキュリティ強化のための、ベストプラクティスも共有してきた。現在のところ、私たちが把握している統計によると、パッチの未適用のソフトウェアが稼動している TeamCity インスタンスは ２％ 未満であり、また、それらの所有者が直ちにパッチを適用することを望んでいる。この脆弱性は、オンプレミスの TeamCity インスタンスにのみ影響し、クラウド版には影響しない」と付け加えている。

JetBrains TeamCity の脆弱性 CVE-2023-42793 ですが、第一報は 2023/09/25 の「JetBrains TeamCity CI/CD サーバに深刻な脆弱性 CVE-2023-42793：積極的な悪用が予測される」であり、その後に、北朝鮮の Lazarus による悪用が報じられ、今回の APT29 による攻撃へと至っています。また、2023/10/05 には、CISA KEV への登録も報じられています。よろしければ、CVE-2023-42793 で検索も、ご利用ください。