警告:VMware vCenter の大量スキャンと RCE 攻撃の可能性

ALERT: Critical RCE Bug in VMware vCenter Server Under Active Attack

2021/06/05 TheHackerNews — 悪意のアクターたちがインターネット上で、VMware vCenter Server を積極的かつ大量スキャンしている。彼らの狙いは、同社が 5月末に対処した、リモートコード実行に関する重大な脆弱性の、パッチが適用されていない脆弱な VMware vCenter Server である。この進行中の活動は、6月3日に Bad Packets により検出され、6月4日にはセキュリティ研究者である Kevin Beaumont により裏付けられている。

Bad Packets の Chief Research Officer である Troy Mursch は、「リモート・コード実行の脆弱性がある VMware vSphere ホストをチェックする、大量のスキャン・アクティビティが 104.40.252.159 から検出された」とツイートしてる。このアクションは、VMware vCenter のバグをターゲットにした、RCE PoC エクスプロイト・コードの公開を受けたものである。問題の脆弱性 CVE-2021-21985 (CVSS 9.8) は、Virtual SAN (vSAN) Health Check プラグイン上で、入力検証が行われていないことに起因している。この脆弱性を攻撃者が悪用することで、vCenter Server をホストする OS 上で、特権による無制限のコマンドを実行が可能になってしまう。

この脆弱性は、5月25日に VMware により修正されましたが、緊急で対応すべきだと、同社は顧客に強く求めています。昨今のランサムウェア時代においては、すでに攻撃者は、ネットワークやデスクトップに侵入していて、ユーザー・アカウントをコントロールしていると考えるのが妥当だと、この記事は指摘しています。

%d bloggers like this: