今すぐパッチを適用: TeamCity の重大なバグによりサーバーの乗っ取りが可能になる

JetBrains は、TeamCity オンプレミス サーバーの重大なセキュリティ脆弱性にパッチを適用しました。この脆弱性により、認証されていないリモート攻撃者が影響を受けるサーバーを制御し、組織の環境内でさらなる悪意のある活動を実行するために使用される可能性があります。

TeamCity は、シティバンク、ナイキ、フェラーリなどの主要ブランドを含む約 30,000 の組織が、ソフトウェアの構築、テスト、展開のプロセスを自動化するために使用しているソフトウェア開発ライフサイクル (SDLC) 管理プラットフォームです。そのため、ソース コードや署名証明書など、攻撃者にとって有益となる可能性のある多数のデータが保管されており、コンパイル済みバージョンのソフトウェアや展開プロセスの改ざんを可能にする可能性もあります。

として追跡された欠陥 CVE-2024-23917、弱点を提示します CWE-288これは、代替パスまたはチャネルを使用した認証バイパスです。 JetBrains は 19 月 2017.1 日にこの欠陥を特定しました。これは、TeamCity オンプレミス継続的インテグレーションおよびデリバリー (CI/CD) サーバーの 2023.11.2 から XNUMX までのすべてのバージョンに影響します。

「この欠陥が悪用された場合、認証されていない攻撃者が TeamCity サーバーに HTTP(S) アクセスして認証チェックをバイパスし、TeamCity サーバーの管理制御を取得できる可能性があります」と TeamCity の Daniel Gallo 氏は書いています。 CVE-2024-23917 の詳細を説明するブログ投稿で、 今週初めに出版されました。

JetBrains は、この脆弱性に対処するアップデート「TeamCity On-Premises」をすでにリリースしています。 バージョン2023.11.3、また独自の TeamCity Cloud サーバーにパッチを適用しました。同社はまた、自社のサーバーが攻撃を受けていないことも確認した。

TeamCity の悪用の歴史

実際、TeamCity オンプレミスの欠陥は軽視すべきではありません。この製品で最後に発見された重大な欠陥は、さまざまな国の支援を受けた攻撃者が製品をターゲットにして、さまざまな悪意のある行為を行うという世界的なセキュリティの悪夢を引き起こしたからです。

この場合、重大なリモート コード実行 (RCE) バグに対する公開概念実証 (PoC) エクスプロイトが次のように追跡されます。 CVE-2023-42793 この脆弱性は、JetBrains によって発見され、昨年 30 月 XNUMX 日にパッチが適用されました。これは、Microsoft によって Diamond Sleet と Onyx Sleet として追跡されている XNUMX つの北朝鮮国家支援の脅威グループによるほぼ即時の悪用を引き起こしました。グループ 欠陥を悪用した サイバースパイ活動、データ盗難、金銭目的の攻撃など、幅広い悪意のある活動を実行するためのバックドアやその他のインプラントをドロップします。

そして29月にAPTXNUMX（別名CozyBear、デュークス、 ミッドナイトブリザード、またはノーベリウム）、悪名高い ロシアの脅威グループ 2020年のSolarWindsハッキングの背後にも 欠陥を突いた。 CISA、FBI、NSA などが追跡している活動では、APT は脆弱なサーバーを攻撃し、初期アクセスにそれらのサーバーを使用して特権を昇格させ、横方向に移動し、追加のバックドアを展開し、永続的かつ長期的なアクセスを確保するためのその他の措置を講じました。侵害されたネットワーク環境に。

アップデートまたは代替の緩和策を推奨

最新の欠陥による同様のシナリオを回避することを期待して、JetBrains は環境内で影響を受ける製品を使用している人に対して、直ちにパッチ適用済みのバージョンに更新するよう呼び掛けました。

これが不可能な場合、JetBrains は、ダウンロードして TeamCity バージョン 2017.1 から 2023.11.2 にインストールできる、問題を解決するセキュリティ パッチ プラグインもリリースしました。会社も インストール手順を掲載しました お客様が問題を軽減できるようにプラグインをオンラインで提供します。

ただし、TeamCity は、セキュリティ パッチ プラグインは脆弱性に対処するだけで、他の修正は提供しないため、顧客には「他の多くのセキュリティ アップデートの恩恵を受けるために」TeamCity On-Premises の最新バージョンをインストールすることを強く推奨すると強調しました。

さらに、影響を受けるサーバーがインターネット経由で一般にアクセスでき、これらの緩和策を講じることができない組織の場合、JetBrains は、欠陥が緩和されるまでサーバーにアクセスできる状態にすることを推奨しました。

TeamCity のバグに関する悪用の歴史を考慮すると、組織が問題に対処するためにパッチ適用は必要かつ重要な最初のステップであると、Sevco Security の CSO である Brian Contos 氏は述べています。しかし、企業が見失ったインターネットに接続されたサーバーが存在する可能性があることを考慮すると、IT 環境をよりしっかりとロックダウンするためにさらなる措置を講じる必要があるかもしれないと同氏は示唆しています。

「既知の攻撃対象領域を防御することは十分に困難ですが、IT 資産インベントリに記載されていない脆弱なサーバーが存在する場合、それは不可能になります」と Contos 氏は言います。 「パッチの適用が完了したら、セキュリティ チームは脆弱性管理に対する長期的でより持続可能なアプローチに注意を向ける必要があります。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover