Critical TeamCity flaw now widely exploited to create admin accounts
2024/03/06 BleepingComputer — JetBrains が 3月4日のアップデートで対処した、TeamCity On-Premises の深刻な認証バイパス脆弱性 CVE-2024-27198 が、ハッカーたちに悪用され始めた。パッチの適用されていない TeamCity のインスタンスが、一般の Web 上に公開され、数百人の新規ユーザーが作成されるといった悪用が、大規模に展開されているという。
サプライチェーン攻撃のリスク
現時点で 1,700台強の TeamCity サーバが未修正であると、LeakIX は BleepingComputer に語っている。同社は、公開されたデバイスから、ミスコンフィグや脆弱性を検索するエンジンを用いて、この種の問題を検出している。
source: LeakIX
LeakIX によりインデックス化された、脆弱なホストの大半は、ドイツ/米国/ロシアなどに位置し、それに 中国/オランダ/フランスなどが続く。このうち、1,440 以上のインスタンスが、すでにハッカーたちに侵入されているという。
LeakIX は、「危殆化したインスタンスでは、3~300 人のユーザーが作成され、その大半で8文字英数字が、ユーザー名のパターンとして使用されている」と、BleepingComputer に語っている。
source: LeakIX
インターネット・スキャン・トラフィックの分析企業である GreyNoise も、3月5日の時点で、脆弱性 CVE-2024-27198 の悪用の試みが急増していることを確認している。GreyNoise の統計によると、その悪用の試みの大半は、DigitalOcean のホスティング・インフラ上の、米国のシステムからのものであったという。
LeakIX の Gregory Boddin が BleepingComputer に語ったところによると、観測された TeamCity サーバは、ソフトウェアのビルド/デプロイで用いられるプロダクション・マシンだという。
つまり、それらのコードには、デプロイ/公開/保存される環境 (ストア/マーケットプレイス/リポジトリ/企業インフラ) の認証情報などの機密情報が含まれる可能性がある。したがって、それらの侵害により、サプライチェーン攻撃につながる可能性があるという。
サイバー・セキュリティ企業である Rapid7 も、この脆弱性と攻撃における活用方法を分析したブログ記事で、同じ懸念を表明している。同社はブログで、「TeamCity サーバの侵害に成功した攻撃者は、すべての TeamCity プロジェクト/ビルド/エージェント/アーティファクトなどの、完全な制御が可能になる」と語っている。
迅速な TeamCity のアップデートを!
この脆弱性 CVE-2024-27198 (CVSS:9.8) は、オンプレミス版 TeamCity の 2023.11.4 までの全バージョンに影響を及ぼす。この欠陥は、サーバの Web コンポーネントに存在し、悪用に成功したリモートの未認証の攻撃者は、管理者権限で脆弱なサーバを制御できる。
この脆弱性の発見者である Rapid7 の Principal Security Researcher である Stephen Fewer が、2月中旬に JetBrains に報告したことで、3月4日に修正が行われた。Rapid7 は、この問題の原因に関する完全な技術的詳細を発表し、この問題を悪用する攻撃者が、リモートでコードを実行する方法を示した。
上記の通り、3月4日に JetBrains は、脆弱性 CVE-2024-27198 を修正した TeamCity 2023.11.4 をリリースし、すべてのユーザーに対して、インスタンスを最新版にアップデートするよう求めている。
すでに大規模な悪用が確認されているため、オンプレミスの TeamCity インスタンスの管理者は、最新リリースのインストールに向けて緊急措置を講じる必要がある。
この TeamCity のCVE-2024-27198 に関しては、第一報が 2024/03/04、第二報が 03/04 となっており、今回が第三報です。すでに悪用が確認され、CISA KEV にも掲載されました。CI/CD に侵害が生じると、サプライチェーン攻撃へいたる可能性が高まります。とても、心配な状況です。よろしければ、TeamCity で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.