TeamCity と呼ばれる継続的インテグレーションおよびデリバリー (CI/CD) サーバー プラットフォームのメーカーである JetBrains とサイバー セキュリティ企業 Rapid7 は、悪用が確認されたために顧客がパッチの適用を急ぐ中、サービス内の 2 つの重大な脆弱性の処理をめぐって衝突を起こしています。 。
問題の 2 つの問題は、CVE-2024-27198 および CVE-2024-27199 として追跡されています。 1 つ目は代替パスの問題による TeamCity の Web コンポーネントの認証バイパスの欠陥で、CVSS 基本スコアは 9.8 で、これは重大な問題であることを意味します。 2 番目の効果は同じですが、CVSS 基本スコアは 7.3 です。
問題を詳細に説明した Rapid7 のブログ投稿の中で、この脆弱性を発見した Rapid7 の主任研究者 Stephen Fewer 氏は次のように書いています。サプライチェーン攻撃を実行するために攻撃者を配置します。」
意見の相違の核心は、脆弱性の開示とパッチ適用に対するアプローチの違いにあります。
この脆弱性は、2024 年 2 月 15 日木曜日に調整された開示ポリシーを通じて JetBrains に開示されました。JetBrains は 2 月 19 日月曜日にこれを認め、Rapid7 による技術分析の提供を受けた後、2 月 20 日火曜日に問題を再現しました。
Rapid7 版の物語では、JetBrains はパッチを公開する前に非公開でリリースすることを提案しました。 これに対し同社は、協調的な開示の重要性を強調し、いわゆるサイレント・パッチングに対する自社の立場を概説した。
その後、3 月 1 日金曜日までの数日間、事態は静まり返りました。Rapid7 は JetBrains に戻り、TeamCity の影響を受けるバージョンとベンダーの緩和ガイダンスに関する詳細情報の要求を再度表明しました。 割り当てられた CVE 番号については通知されましたが、それ以外の場合、問題はまだ調査中であると通知されました。
その後、3 月 4 日月曜日、Rapid7 への連絡はなく、JetBrains は脆弱性を修正した新しいバージョンの TeamCity のリリースを発表するブログを公開しました。 Rapid7は、このパッチが通知や調整もなく、勧告も公開されずにリリースされたことに懸念を表明したと述べた。
独自の脆弱性公開ポリシーに基づき、Rapid7 がサイレント パッチが発行されたことを認識した場合、24 時間以内に脆弱性の詳細を「公開することを目指す」予定であり、現在もそのとおりにしています。
その後、JetBrains はこの問題に関するブログと勧告を公開し、CVE は TeamCity の新バージョンのリリースノートに含まれていると述べましたが、調整されていない開示に関する Rapid7 の懸念には直接対応していません。
JetBrains のバージョンの記事では、Rapid7 がサイレント パッチと呼ぶものを提案したことに異論はありませんが、この開示方法はそれに従ったものであると主張しています その 調整された開示ポリシー。
同社は、顧客がリスクレベルについて情報に基づいた決定を下せるようにし、アップグレードする時間を与え、その間にスキルの低い攻撃者が欠陥を悪用するのを阻止できるようにするために、この方針をたどりたいと述べた。
JetBrains は、これにより、Rapid7 がパッチの配布と同時に脆弱性の完全な技術的詳細を公開することになることを知り、協調的な公開を行わない決定を下したと述べた。
「繰り返しになりますが、私たちは全詳細を公開せずに修正プログラムをサイレントリリースするつもりはまったくありませんでした。 CVE 番号付け機関 (CNA) として、私たちは報告書を受け取ってから 1 日後に両方の問題に CVE ID を割り当てました」と JetBrains の TeamCity ソリューション エンジニアである Daniel Gallo 氏は述べています。
「私たちは、これまでと同じ方法で脆弱性の詳細を開示することを提案しましたが、修正のリリースと完全な開示の間に時間差を設け、お客様が TeamCity インスタンスをアップグレードできるようにしました。
「この提案は、Rapid7 チームによって拒否されました。Rapid7 チームは、TeamCity の顧客に修正プログラムをリリースした数時間後に、脆弱性の詳細とその悪用方法を公開しました。」
サイレントパッチ適用: 悪い考え
Rapid7 が採用した協調的開示のアプローチは広く受け入れられており、サイバーセキュリティの世界ではまったく普通のことですが、JetBrains はこのアプローチを拒否する理由を明確に述べていませんが、2022 年に、Rapid7 の主任セキュリティ研究マネージャーである Tod Beardsley 氏は、次のようなときに考えられる説明を提供しました。同氏は、額面通りに受け取ると、サイレントパッチ適用は問題とそれを利用する方法を理解している人の数を制限するように見えるため、一部の人には適切であるように見えるかもしれないと述べました。
これが当てはまらない理由をビアズリー氏は次のように述べています。「ソフトウェア会社がパッチをリリースすると、ある時点で実行中のソフトウェアのコードを変更する必要があります。つまり、パッチを当てたソフトウェアの実行中のインスタンスを持っている人は誰でも、そのすべてを利用できることになります。」デバッガと逆アセンブラの使用方法を知っています。 そして、パッチの効果を検査するためにデバッガを使用するのは誰でしょうか? ほぼ独占的に開発者を悪用します。」
これを念頭に置いて、ビアズリー氏は、サイレント パッチは、実際には、パッチされた脆弱性に関する知識を熟練したエクスプロイト開発者、つまり脅威アクターに限定しているため、サイレント パッチがカジュアルでスキルの低いハッカーやスクリプトキディを排除するのは事実であると述べています。また、問題をより深く理解し、効果的に伝達できることで恩恵を受ける可能性がある善良な人々、正当な侵入テスト者、防御技術の開発者、インシデント対応者、サイバー コミュニティ全体も除外されます。
「最も重要なことは、パッチの最も重要な対象者を除外していることです。つまり、リスクと重大度の基準に基づいて受信するパッチのフローを分類し、ダウンタイムを要求し、それに基づいて更新のスケジュールを設定する必要がある通常の IT 管理者とマネージャーです。その基準。 すべての脆弱性が同じというわけではなく、保護者はすべての脆弱性に対処したいと考えていますが、どれを今日適用するか、どれを次のメンテナンス サイクルまで待てばよいかを判断する必要があります。」と彼は書いています。
Rapid7の主張を要約すると、ビアズリー氏は、サイレントパッチ適用は、すでに脆弱な製品をターゲットにしている熟練したサイバー犯罪攻撃者と国家主体に「独占的に」脆弱性の詳細を伝えるものだ、と述べた。
「つまり、サイレントパッチ適用は、主にあなたとあなたのユーザーに損害を与えたいと思っている非常に少数の聴衆に完全に公開することに等しい」と彼は結論づけた。
TeamCity の新しい脆弱性の場合、このサービスの以前の問題が他でもない、ロシアの対外諜報機関のサイバー部隊である APT29 (別名 Cozy Bear) によって大きく悪用されたことを考えると、調整された開示の重要性がさらに重要になります ( SVR)。
TeamCity のオンプレミス ユーザーが集中砲火に巻き込まれた場合 (クラウド バージョンには完全にパッチが適用されています)、ガイダンスはシンプルです。 情報開示の失敗は、リスク要因を評価する能力が奪われていることを意味し、唯一の解決策はただちにパッチを適用することです。