CVE-2023-42793 Detection: An Authentication Bypass Vulnerability Leading to RCE on JetBrains TeamCity Server

攻撃者キャンペーンによる悪用に追随するように CVE-2023-29357 脆弱性 Microsoft SharePoint Server の認証前 RCE チェーンを引き起こす、攻撃者が RCE を実行可能にするもう一つのセキュリティ欠陥がサイバー脅威の状況を騒がせています。JetBrains TeamCity CI/CD サーバーの重大な脆弱性である CVE-2023-42793 として追跡されるこの脆弱性により、攻撃者は侵害されたインスタンスで RCE を獲得し、ソースコードを盗み、さらなるサプライチェーン攻撃につながる可能性があります。

CVE-2023-42793 のエクスプロイトを検知

人気のビジネスアプリケーションに影響を与える脆弱性の数が増え続ける脅威の増大とともに、セキュリティ侵害をタイムリーに防ぐためには、積極的な脅威検知戦略が必要です。SOC Prime プラットフォームは、SOC 操作の効率を向上させる信頼できるサイバーセキュリティツールをいくつか提供しています。

攻撃者が使用する最新の TTP に常に対応するために、世界最速のフィードに飛び込むことができます。CVE-2023-42793 のエクスプロイト試行を検知するために、弊社の熟練した Threat Bounty 開発者 Aykut Gürsesによる厳選された Sigma ルールをSOC Primeが提供します。この検知は MITRE ATT&CK® フレームワーク にマッピングされ、調査を効率化するために包括的なメタデータが付随しています。

可能性のある CVE-2023-42793 のエクスプロイト試行（JetBrains TeamCity Server の RCE に至る認証バイパス）（プロキシ経由）

このルールは、18 の SIEM、EDR、XDR、そしてデータレイク技術と互換性があり、Persistence タクティクスをアドレスし、Server Software Component（T1505）を主要技術とします。

新しい、または重要な脆弱性に対する検知ルールの全コレクションを探索するには、以下の 「検知を探索」 ボタンをクリックしてください。すべてのルールには、脅威の調査を強化するために包括的なサイバー脅威コンテキストと CTI が付属しています。

「検知を探索」

意欲的な検知エンジニアは、クラウドソースされた Threat Bounty Programに参加することで、Sigma と ATT&CK スキルを磨くことができます。検知コーディングスキルをトレーニングしてエンジニアリングのキャリアアップを目指しながら、業界の集団的専門知識を豊かにし、入力に対する金銭的報酬を獲得することができます。

CVE-2023-42793 の説明

TeamCity は、30,000 以上のユーザーが活用する DevOps プロセスを効率化することを目的とした JetBrains の人気の CI/CD サーバーです。 CVE-2023-42793という重大な JetBrains TeamCity の脆弱性がサイバー脅威の場に登場し、日常業務でこのソフトウェアに依存する組織と個人ユーザが潜在的な脅威にさらされています。CVE-2023-42793 は、Sonar の脆弱性研究者である Stefan Schiller により発見され、この 重大な欠陥の詳細な分析 を提供し、その成功したエクスプロイト時のソースコード開示のリスクを強調しました。CVSS スコアが 9.8 に達するこの高リスクの認証バイパス脆弱性により、認可されていない攻撃者がバージョン 2023.05.3 以下の影響を受けた TeamCity インスタンスで任意のコードを実行することが可能です。CVE-2023-42793 エクスプロイトの成功結果として、攻撃者はソースコードを盗むことができ、保存されたサービスシークレットや秘密鍵も含まれます。また、成功したエクスプロイト試行により、攻撃者はビルドプロセスにアクセスした後に悪意のあるコードを注入する承認を得ることができ、これがサプライチェーン攻撃やシステム全体の乗っ取りにつながる可能性があります。

CVE-2023-42793 はオンプレミスの TeamCity デバイスに脅威を与え、クラウドソフトウェアバージョンは影響を受けません。リスクの増大に応じて、JetBrains は 詳細なブログ投稿を発行 し、徹底的な脆弱性分析とその影響を排除する方法を説明しました。この脆弱性は TeamCity バージョン 2023.05.4 でパッチされています。

推奨される CVE-2023-42793 の軽減策として、オンプレミスの TeamCity サーバープラットフォームのすべてのユーザーは、ソフトウェアを最新バージョンに更新するように促されています。アップグレードができない場合には、JetBrains は上記の RCE セキュリティバグに対処するために特別に設計されたセキュリティパッチプラグインもリリースしました。

サイバーセキュリティ研究者たちは、この重大な欠陥がターゲットシステム上で有効なアカウントを必要とせず、攻撃者によって容易に武器化できることから、CVE-2023-42793 の広範なエクスプロイトに懸念を示しています。 SOC Prime の Uncoder AIを使用することで、防御者は検出エンジニアリング手順を向上させ、新たな脅威に対するリスクを未然に防ぐことができます。これにより、組み込みのオートコンプリートウィザードと自動化されたルールロジック & 構文チェックを使用して、高速なコーディングが可能になり、カスタム検索クエリへの IOC 自動解析により侵入を即座に特定し、脅威を発生前に阻止することが可能です。