2024/03/04 HelpNetSecurity — JetBrains が公表したのは、TeamCity On-Premises に存在する2つの深刻なセキュリティ脆弱性 CVE-2024-27198/CVE-2024-27199 の修正である。今日、JetBrains は、「この脆弱性を最初に特定した Rapid7 は、当社に報告してくれたが、独自の開示ポリシーを厳守することを選択した。つまり、同社のチームは、この通知から 24時間以内に、脆弱性の技術的な詳細とレプリケーション手順を公開する予定である」と述べている。
さらに言うなら、PoC エクスプロイトや悪用の方法が直ちに表面化し、活用される可能性が高いことを意味する。
脆弱性 CVE-2024-27198/CVE-2024-27199 について
JetBrains の TeamCity は、CI/CD (continuous integration and continuous delivery) サーバであり、最近はロシアや北朝鮮の APT に狙われることが多い。
CVE-2024-27198/CVE-2024-27199 は、代替のパス/チャネルを介した認証を回避 (CWE-288) および、ファイル・システム・トラバースによる制限外のファイル/ディレクトリへのアクセス (CWE-23) を引き起こす可能性のあるものだ。
JetBrains は、「TeamCity サーバへの HTTP(S) アクセスを持つ、認証を必要としない攻撃者が、認証チェックをバイパスし、対象となる TeamCity サーバの管理制御を不正に取得する可能性がある」と警告している。
これらの問題は、TeamCity On-Premises の 2023.11.3 以下の全バージョンに存在し、バージョン 2023.11.4 で修正されている。
同社は、「TeamCity クラウド・サーバには、すでにパッチが適用されており、攻撃されていないことを確認している」としている。
アップデート? パッチ適用? インターネット遮断?
v2023 サーバへの速やかなアップグレードが不可能な場合には、修正バージョンへのアップグレード (手動/自動アップデートオプションを使用) もしくは、すべての TeamCity バージョンと互換性のある、セキュリティパッチ・プラグインの適用を推奨する。
なお、JetBrains のポリシーでは、対策のリリース後における、徹底的な緩和を保証するために、脆弱性の技術的な詳細については一定の期間において伏せられる。
TeamCity サーバがインターネットを介してアクセス可能であり、いずれの緩和策も直ちに実行できない場合に、ユーザーに対して強く推奨されるのは、緩和措置が完了するまでの間において、対象サーバへのアクセスを遮断することである。
この記事を訳し終えた数時間後には、文中に記されているように、Rapid7 から PoC エクスプロイトが提供され、そのことを BleepingComputer が報じています。そちらの記事も訳しますので、お待ち下さい。TeamCity に関しては、2024/02/06 にも「JetBrains TeamCity の RCE 脆弱性 CVE-2024-23917 が FIX:ただちにパッチを!」がポストされています。よろしければ、TeamCity で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.