TeamCityにおける認証バイパスの脆弱性、悪用始まる:CVE-2024-27198 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > TeamCityにおける認証バイパスの脆弱性、悪用始まる:CVE-2024-27198

Threat Report

Silobreaker-CyberAlert

TeamCityにおける認証バイパスの脆弱性、悪用始まる:CVE-2024-27198

佐々山 Tacos

佐々山 Tacos

2024.03.07

TeamCityの認証バイパス脆弱性、悪用始まる:CVE-2024-27198

(情報源:BleepingComputer

今週月曜に修正されたTeamCityにおける認証バイパスの脆弱性CVE-2024-27198が、ハッカーたちにより悪用され始めているとの報道。未パッチのTeamCityインスタンスが大規模に攻撃されているとみられ、侵害されたインスタンスには数百もの新規ユーザーが作成されているという。ツールの性質上、サプライチェーン攻撃に発展する恐れも懸念されている。

関連記事:TeamCityの新しい認証バイパスの重大なバグに関するエクスプロイトが公開 今すぐパッチを(CVE-2024-27198、CVE-2024-27199)

未パッチの公開サーバーの大半が既に侵害されている可能性

公開デバイスの誤設定や脆弱性向け検索エンジンのLeakIXによれば、同社がスキャンにより発見した未パッチのTeamCityサーバーは「1,711」存在し、そのうち「1,442」のサーバーで明白な侵害の兆候が見られるという。

同社はまた、インターネット全体で数百件もの新規ユーザーの作成が観測されていることも伝えた。侵害されたTeamCityインスタンスでは、それぞれ3〜300件のユーザーが作成されており、大抵のユーザー名が8文字の英数字で構成されているという。

サプライチェーン攻撃に繋がる懸念も

LeakIXがBleepingComputerに伝えたところによれば、同社が観測したTeamCityサーバーの数々は、ソフトウェアの構築やデプロイに使用されるプロダクションマシンだという。したがって、これらのサーバーには、コードが展開/公開/保管されているような環境(Webストアやマーケットプレイス、リポジトリ、企業インフラ等)の認証情報など、機微な情報が保存されている可能性がある。このため、今回の悪用はサプライチェーン攻撃に繋がる可能性があるという。

またCVE-2024-27198の発見者であるRapid7も同脆弱性に関する分析記事において、サーバーを侵害したハッカーは「TeamCityのすべてのプロジェクト、ビルド、エージェント、アーティファクトを完全に乗っ取れるようになる、このため、TeamCityサーバーは攻撃者がサプライチェーン攻撃を実施するのにぴったりなベクターとなっている」と述べて懸念を表明している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ