CVE詳細 - CVE-2024-27198-

CVE-2024-27198 の詳細

CVEの情報

説明:
In JetBrains TeamCity before 2023.11.4 authentication bypass allowing to perform admin actions was possible

CVE更新日: 2024-03-04 18:15:09.040000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2024-03-07

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.930470000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2024-27198は、JetBrains社が提供するCI/CDツール「TeamCity」のオンプレミス版に存在する認証バイパスの脆弱性です。

1. 脆弱性の概要

CVE-2024-27198は、TeamCityのWebコンポーネントにおける認証回避の脆弱性であり、代替パスの問題（CWE-288）に起因します。攻撃者は、特別な細工を施したHTTPリクエストを介して認証チェックをバイパスし、未認証のままリモートコード実行（RCE）を可能にします。この脆弱性は、同時期に開示されたパストラバーサルの脆弱性CVE-2024-27199と共に報告されました。

1.1 影響

本脆弱性が悪用されると、攻撃者は認証機構をすり抜け、管理者権限を行使できるようになります。これにより、脆弱なTeamCityサーバーのプロジェクト、ビルド、エージェント、アーティファクトのすべてが完全に制御され、サプライチェーン攻撃の踏み台として利用される可能性があります。実際に、ランサムウェア「Jasmin」や暗号資産マイナー「XMRig」、攻撃ツール「Cobalt Strike」のビーコン、バックドア「SparkRAT」などのマルウェアが配備される事例が確認されています。また、不正なユーザーアカウントが作成されることも報告されています。

1.2 深刻度

共通脆弱性評価システム（CVSSv3.1）のベーススコアは9.8（緊急 - Critical）と評価されており、非常に深刻な脆弱性です。米サイバーセキュリティ・社会基盤安全保障庁（CISA）は、本脆弱性を「攻撃に使用された既知の脆弱性（Known Exploited Vulnerabilities Catalog）」に追加しており、活発な悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンに関する記載は見当たりません。この脆弱性は、使用されているOSではなく、TeamCityソフトウェアのバージョンに依存します。

2.2 影響を受ける設定

JetBrains TeamCityのオンプレミス版バージョン2023.11.3以前のすべてのバージョンが影響を受けます。TeamCity Cloudサーバーは既にパッチが適用済みであり、攻撃を受けていないことが確認されています。特に、インターネットに公開されているTeamCityサーバーはリスクが高いとされています。

3. 影響を受けた時の兆候

影響を受けた際の兆候としては、以下が挙げられます。 * 不正なユーザーアカウントの作成（攻撃を受けたインスタンスで3～300人の新規ユーザーが作成された事例があります）。 * ランサムウェア、暗号資産マイナー、攻撃ツール（Cobalt Strikeビーコン）、バックドアなどのマルウェアの配備。 * TeamCityに関連するコマンドやスクリプトインタプリタ（例：PowerShell）の起動。 * 探索用コマンドの実行。 * マルウェアのダウンロードとインストール。 * コマンド＆コントロール（C2）サーバーへの接続。 * ログに、/app/rest/users やトークン生成エンドポイントへの特定のPOSTリクエストなど、認証をバイパスする不正なHTTPリクエストが記録されている。

4. 推奨対策

4.1 本対策

JetBrains TeamCityをバージョン2023.11.4以降にアップグレードしてください。これは、自動アップデートオプションを使用するか、最新バージョンをダウンロードして適用することで実施できます。

4.2 暫定回避策（緩和策）

直ちにアップグレードが困難な場合は、以下の暫定回避策を検討してください。 * JetBrainsがリリースしたセキュリティパッチプラグインをインストールする。 * TeamCityサーバーがインターネットから直接アクセス可能であるかを確認し、アクセス制限の強化を検討する。 * CISAは、ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止するよう推奨しています。

その他解説すべき観点

概念実証（PoC）の公開: 本脆弱性の情報は公開後すぐに概念実証（PoC）コードが公開され、それに伴い攻撃が活発化していることが懸念されています。
CISA KEVへの登録: 米国CISAは、本脆弱性を「攻撃に使用された既知の脆弱性カタログ」に追加しており、米国の連邦行政機関に対しては、特定の期限（2024年3月28日）までにこの脆弱性に対処することが義務付けられました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る