CVE-2024-27198 and CVE-2024-27199 Detection: Critical Vulnerabilities in JetBrains TeamCity Pose Escalating Risks with Exploits Underway

[post-views]
3月 06, 2024 · 6 分で読めます
CVE-2024-27198 and CVE-2024-27199 Detection: Critical Vulnerabilities in JetBrains TeamCity Pose Escalating Risks with Exploits Underway

大規模な悪用の数ヶ月後、 CVE-2023-42793、JetBrains TeamCityの新しい重大な脆弱性が注目を集め、影響を受けたユーザーが影響を受けたシステムの完全な侵害のリスクにさらされました。CVE-2024-27198およびCVE-2024-27199として追跡された、発見されたセキュリティ欠陥は、未認証の攻撃者にサーバーの管理制御を取得する許可を与えることができます。CVE-2024-27198のPoCエクスプロイトが公開され、更に開発中のものもあるため、防御者は組織や個人ユーザーに、これらの欠陥が悪用される野生の攻撃が増大しているリスクを警告しています。

CVE-2024-27198およびCVE-2024-27199の悪用試行を検出

JetBrains TeamCityにおけるセキュリティ脆弱性の悪用試行のリスクが高まっていることを受け、CVE-2024-27198およびCVE-2024-27199として追跡された新たに発見された重大な欠陥を含む、攻撃者の侵入に先手を打ってプロアクティブに防御するため、防御者は即時の対応を取ることが不可欠です。SOC Prime Teamは最近、CVE-2024-27198およびCVE-2024-27199の悪用試行を検出するための新しい検出アルゴリズムをリリースしました。最近リリースされたPoCコードに基づいた専用コンテンツアイテムにアクセスするには、SOC Prime Platformにログインしてください。

CVE-2024-27198/CVE-2024-27199 (JetBrains TeamCity 認証バイパス) 悪用の試行(ウェブサーバー経由)

この検出は MITRE ATT&CK® v.14.1 に対応しており、初期アクセスの戦術や対応する情報公開アプリケーションの悪用 (T1190) の手法をカバーしています。検出アルゴリズムは、クラウドおよびオンプレミスの18のセキュリティ分析プラットフォームと互換性があり、クロスプラットフォームクエリの翻訳を簡略化します。

新たに出現する脅威に対するサイバー耐性を強化しようとする企業は、以下をクリックしてCVEに関する検出アイデアの全コレクションを活用できます。 検出を探索する ボタン。すべての検出アルゴリズムには、包括的なメタデータとカスタムインテリジェンスが付属しており、脅威の調査にかかる時間を短縮します。

検出を探索する

CVE-2024-27198およびCVE-2024-27199の分析

2024年2月、Rapid7の研究者が JetBrains TeamCity CI/CDサーバーに影響を与える2つの新しい重大な認証バイパス脆弱性を発見し報告しました。これらの欠陥は として知られ、 CVE-2024-27198 and CVE-2024-27199 が含まれます。この欠陥を利用すると、HTTP(S)アクセスを持つ攻撃者がTeamCityサーバーの認証チェックをバイパスし、侵害されたサーバーに管理者の制御を取得することができます。CVE-2024-27198は、TeamCityのウェブコンポーネントに代替パス問題があるため、CVSSスコア9.8に達する欠陥であり、CVE-2024-27199はパストラバーサル問題に起因するより軽度な脆弱性で、CVSSスコアは7.3です。

​​CVE-2024-27198は、ターゲットのTeamCityサーバーの完全な侵害につながり、攻撃者がサプライチェーン攻撃を開始するためのRCEを引き起こす可能性があります。CVE-2024-27199の場合、これを利用することで敵対者はDoS攻撃を開始したり、クライアント接続を傍受することが可能です。

TeamCity On-Premisesバージョン2023.11.3までのすべてのバージョンに影響を与える脆弱性は、最新バージョン2023.11.4で修正されました。潜在的な攻撃リスクを最小化するために、 ベンダーもセキュリティパッチをリリースし、 最新バージョンにアップグレードできない顧客が関連する脅威から環境を保護できるように、プラグインを提供しました。

そのため、 ​​CVE-2024-27198 PoCエクスプロイトコード がGitHubで公開され、サーバー全体の乗っ取りにつながる攻撃のリスクが増大しているため、防御者の超即応性が要求されています。 SOC Primeの攻撃検出機能を活用することで、セキュリティエンジニアは、サイバー防御の盲点をタイムリーに識別し、これらのギャップに対処するために収集すべき適切なデータを特定し、SIEMのROIを最適化し、攻撃者が行動を起こす前に検出手順を優先することで、組織のサイバーセキュリティ対策を向上させることができます。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko