CVE-2024-27198 및 CVE-2024-27199 탐지: JetBrains TeamCity의 중대한 취약점, 진행 중인 공격으로 위험도 상승

대규모 악용이 발생한 지 몇 달 후, CVE-2023-42793에 이어 JetBrains TeamCity의 새로운 치명적인 취약점이 주목받게 되었으며, 영향을 받는 사용자는 시스템이 완전히 손상될 수 있는 위험에 노출되었습니다. CVE-2024-27198 및 CVE-2024-27199로 추적되는 발견된 보안 결점은 인증되지 않은 공격자가 서버에 대한 관리자 제어 권한을 획득할 수 있도록 허용합니다. CVE-2024-27198의 PoC 익스플로잇이 공개적으로 제공되고 추가 개발 중이므로, 방어자들은 조직과 개인 사용자에게 이러한 결점을 무기화한 실전 공격의 증가하는 위험을 경고하고 있습니다.

CVE-2024-27198 및 CVE-2024-27199 악용 시도 탐지

JetBrains TeamCity의 보안 취약점의 악용 시도가 증가하는 상황에서, 새롭게 발견된 치명적인 결점(CVE-2024-27198 및 CVE-2024-2719로 추적됨)을 포함하여 방어자들은 즉각적인 조치를 취해 적의 침입에 적극적으로 방어해야 합니다. SOC Prime 팀은 최근 CVE-2024-27198 및 CVE-2024-2719 악용 시도를 탐지하기 위한 새로운 탐지 알고리즘을 출시했습니다. 최근 출시된 PoC 코드를 기반으로 한 전용 콘텐츠 항목에 액세스하려면 SOC Prime 플랫폼에 로그인하십시오:

CVE-2024-27198/CVE-2024-27199 (JetBrains TeamCity 인증 우회) 악용 시도 (웹 서버를 통해)

이 탐지기는 MITRE ATT&CK® v.14.1 에 등록된 초기 접근 전술 및 해당 공개-facing 애플리케이션(기술 T1190) 공격 탐지와 일치합니다. 이 탐지 알고리즘은 18개의 클라우드 및 온프레미스 보안 분석 플랫폼과 호환되어 플랫폼 간 쿼리 번역을 단순화합니다.

크리티컬 취약점을 포함하여 지속적으로 방어자를 위협하는 신규 위협에 대한 사이버 회복력을 강화하고자 하는 조직은 CVEs에 대한 전체 탐지 아이디어 컬렉션을 사용하여 ” 탐지 탐색” 버튼을 클릭하십시오. 모든 탐지 알고리즘은 위협 조사 시간을 단축하려는 포괄적인 메타데이터와 정밀한 정보로 강화됩니다.

탐지 탐색”

CVE-2024-27198 및 CVE-2024-27199 분석

2024년 2월, Rapid7 연구진이 JetBrains TeamCity CI/CD 서버에 영향을 미치는 두 가지 새로운 치명적인 인증 우회 취약점을 발견하고 보고했습니다. 알려진 결함인 및 및 and CVE-2024-27199 는 HTTP(S) 접근 권한을 가진 공격자가 TeamCity 서버에서 인증 체크를 우회하고 손상된 서버에 대한 관리자 제어 권한을 획득할 수 있게 허용합니다. CVE-2024-27198는 9.8의 CVSS 점수를 기록하며, 대체 경로 문제에서 비롯된 TeamCity의 웹 구성 요소의 결함입니다. 반면, CVE-2024-27199는 경로 이동 문제에서 비롯되며 7.3의 CVSS 점수를 기록해 덜 심각한 취약점입니다.

​​CVE-2024-27198는 대상 TeamCity 서버의 완전한 손상을 초래하여 RCE로 이어질 수 있으며, 공격자에게 공급망 공격을 감행할 수 있는 초록 불빛을 줍니다. 반면 CVE-2024-27199는 적들이 DoS 공격을 감행하거나 클라이언트 연결을 가로채는 데 이용될 수 있습니다.

모든 TeamCity 온프레미스 버전(2023.11.3까지)에 영향을 미치는 취약점은 최신 버전 2023.11.4에 패치되었습니다. 잠재적 공격 위험을 최소화하기 위해, 벤더는 보안 패치 플러그인을 출시하여 최신 버전으로 업그레이드 할 수 없는 고객이 관련 위협으로부터 환경을 보호할 수 있도록 합니다.

GitHub에서 ​​CVE-2024-27198 PoC 익스플로잇 코드 가 공개적으로 접근 가능하게 됨으로써, 전체 서버 장악으로 이어지는 공격 위험이 증가하고 있으며, 이는 방어자들로 하여금 대응속도를 강화시키고 있습니다. 이를 활용하여 SOC Prime의 공격 탐지기를 통해 보안 엔지니어는 기관의 사이버 보안 태세를 강화하여, 사이버 방어의 맹점을 적시에 식별하고, 이러한 격차를 해결할 데이터를 수집하며 SIEM의 ROI를 최적화하고, 적들이 공략하기 전에 탐지 절차를 우선시할 수 있습니다.