セキュリティ研究者は、JetBrains の TeamCity の最新の脆弱性を悪用した積極的な悪用の試みが増えており、場合によってはランサムウェアの展開につながることもあると報告しています。
セキュリティ企業クラウドストライクの脅威ハンティング担当ディレクター、ブロディ・ニスベット氏は火曜日、テレメトリですでにジャスミンランサムウェアの改変版と思われるものを使用した攻撃の兆候が見られたと指摘した。
Rapid7 が JetBrains を「無秩序な脆弱性開示」で非難
続きを読む
Jasmin は WannaCry を模倣したオープンソースのレッドチームツールであり、組織がランサムウェア攻撃をシミュレートできるように設計されていますが、過去に悪意のある目的で変更されたことがあります。
GoodWill ランサムウェアの亜種は、2022 年に発生したそのような例の 1 つであり、被害者をファイルにアクセスできないようにしましたが、暗号アドレスへの身代金の支払いを要求する代わりに、被害者は、困っている子供たちにお金を寄付したり食事を与えたりするなどの善行をしなければなりませんでした。
エル・レグはニスベットに自分が見たものについてさらに詳しい情報を尋ねたが、時差のためすぐに連絡を取ることができなかった。
他の研究者も、重大度が「重大」な脆弱性と重大度が「高い」脆弱性の2つを悪用した攻撃が順調に進んでいると述べている。
Rapid7 の脅威分析担当シニアディレクターの Christiaan Beek 氏は、AttackerKB で、TeamCity の脆弱性が両方とも実際に悪用されているのが確認されたと述べています。
セキュリティ設定ミス検索エンジンLeakIXはまた、2つの脆弱性の中で最も深刻なCVE-2024-27198が大規模に悪用され、攻撃者がCI/CDサーバーに侵入し、後で使用するために数百のアカウントを作成していると述べた。
エクスプロイト後に登録されるユーザー名は、8 つのランダムな英数字で構成された文字列のようです。これが TeamCity インスタンスで見つかった場合、侵害の兆候となる可能性があります。
インターネット監視サービスShadowserverの最新データによると、依然として1,182台のTeamCityサーバーがインターネットに公開されており、セキュリティ問題の影響を受けています。公開されているサーバーの数は、米国とドイツがそれぞれ298台と188台と最も多くなっています。
- ベルギービールの伝説的醸造所デュベルの醸造所がランサムウェアの被害で生産停止
- VMwareはハイパーバイザーの欠陥を緩和するための緊急措置を促している
- AIができることのもう1つは、不適切な情報セキュリティを暴露して、サイバー犯罪者が組織内に足掛かりを得られることです。
- 訴訟では、ギフトカード詐欺はGoogleにとって贈り物であり続けると主張している。
オンプレミス版のTeamCity 2023.11.4より前のバージョンをご利用の方は、直ちにパッチを適用することをお勧めします。影響を受ける製品の性質と悪用されやすさを考慮すると、ソフトウェアサプライチェーン攻撃の可能性は深刻な懸念事項です。
今週最初に問題を発見して報告した JetBrains と Rapid7 の研究者の間で 2 つの脆弱性が調整なしに公開されたため、攻撃者が有効なエクスプロイトを開発するために必要なすべての情報が、パッチがリリースされたその日に公開されました。
サイレントパッチ疑惑が情報セキュリティ上の混乱を引き起こす
3 月 5 日火曜日のドラマを見逃した方のために説明すると、Rapid7 は、脆弱性の詳細を公開することに関して 2 つのベンダーの対照的なポリシーを示す開示タイムラインを公開し、JetBrains を犠牲にしたとして非難されました。
要するに、JetBrains は Rapid7 に対し、エクスプロイト コードの開発につながる可能性のある脆弱性の詳細を公開する前に、顧客にパッチをリリースして適用する時間を与えたいと伝えたということです。
Rapid7のポリシーでは、コミュニティの透明性を完全に維持するため、パッチリリース時に脆弱性の全容を公開しています。JetBrainsは、今回のケースでは、問題の深刻さと攻撃が成功した場合の潜在的な影響を考慮すると、世間が問題に気付かないうちに、顧客にパッチ適用のための時間を与えるべきだと主張しました。
Rapid7 は、JetBrains が独自のやり方で物事を進め、技術的な詳細をほとんど記載せずにパッチをリリースしているのを見て、レポート全体を公開しました。
両党ともそれぞれの政策について正当な主張をしていることから、この状況はサイバーセキュリティコミュニティを分裂させています。
ジェットブレインズは「詳細を公表せずにひっそりと修正プログラムをリリースするつもりはなかった」と述べ、攻撃が拡大する前に顧客に修正プログラムを適用する時間を与えたかっただけだとしている。
「この提案は、TeamCity の顧客向けに修正プログラムをリリースした数時間後に脆弱性の詳細 (およびその悪用方法) を公開した Rapid7 チームによって却下されました。」
ジェットブレインズは自社の行為が顧客の利益を最優先するものであったと主張しているが、両社の間では同社の行為について混乱が生じているようだ。
Rapid7は、週末にセキュリティアドバイザリが付随しないままパッチが公開されたのを見て、ベンダーが詳細を公表することはないだろうと想定し、自らパッチを公開した可能性が高い。JetBrainsはこれを否定している。®
