TeamCityの認証バイパス脆弱性、悪用始まる:CVE-2024-27198
(情報源:BleepingComputer)
今週月曜に修正されたTeamCityにおける認証バイパスの脆弱性CVE-2024-27198が、ハッカーたちにより悪用され始めているとの報道。未パッチのTeamCityインスタンスが大規模に攻撃されているとみられ、侵害されたインスタンスには数百もの新規ユーザーが作成されているという。ツールの性質上、サプライチェーン攻撃に発展する恐れも懸念されている。
関連記事:TeamCityの新しい認証バイパスの重大なバグに関するエクスプロイトが公開 今すぐパッチを(CVE-2024-27198、CVE-2024-27199)
未パッチの公開サーバーの大半が既に侵害されている可能性
公開デバイスの誤設定や脆弱性向け検索エンジンのLeakIXによれば、同社がスキャンにより発見した未パッチのTeamCityサーバーは「1,711」存在し、そのうち「1,442」のサーバーで明白な侵害の兆候が見られるという。
⚠️We added detection for compromised #TeamCity instances:
1711 vulnerable instances were found during our last scan, 1442 show clear signs of rogue user creation.
If you were/are still running a vulnerable system, assume compromise. pic.twitter.com/BIvscjRxZJ
— LeakIX (@leak_ix) March 6, 2024
同社はまた、インターネット全体で数百件もの新規ユーザーの作成が観測されていることも伝えた。侵害されたTeamCityインスタンスでは、それぞれ3〜300件のユーザーが作成されており、大抵のユーザー名が8文字の英数字で構成されているという。
⚠️⚠️⚠️ We are seeing massive exploitation of TeamCity CVE-2024-27198.
Hundreds of users are created for later use across the Internet. pic.twitter.com/VIRx13ZdMS
— LeakIX (@leak_ix) March 6, 2024
サプライチェーン攻撃に繋がる懸念も
LeakIXがBleepingComputerに伝えたところによれば、同社が観測したTeamCityサーバーの数々は、ソフトウェアの構築やデプロイに使用されるプロダクションマシンだという。したがって、これらのサーバーには、コードが展開/公開/保管されているような環境(Webストアやマーケットプレイス、リポジトリ、企業インフラ等)の認証情報など、機微な情報が保存されている可能性がある。このため、今回の悪用はサプライチェーン攻撃に繋がる可能性があるという。
またCVE-2024-27198の発見者であるRapid7も同脆弱性に関する分析記事において、サーバーを侵害したハッカーは「TeamCityのすべてのプロジェクト、ビルド、エージェント、アーティファクトを完全に乗っ取れるようになる、このため、TeamCityサーバーは攻撃者がサプライチェーン攻撃を実施するのにぴったりなベクターとなっている」と述べて懸念を表明している。