VMware denies allegations it leaked Confluence RCE exploit
2021/09/10 DailySwig — VMware は、独立系のセキュリティ研究者が同社のサーバー用に作成した、 Atlassian Confluence 脆弱性の PoC エクスプロイトを、流出させたという非難に反論した。研究者である Thanh Nguyen は、9月7日に公開されたブログ記事の中で、17時間前に VMware に送信した認証前リモートコード実行 (RCE) エクスプロイトと同一のペイロードが、GitHub 上に現れたと主張している。
Thanh Nguyen は、「この時点では、インターネット上に PoC (概念実証) は公開されていなかった。このオリジナル・ペイロードが VMWare のエンドポイント(confluence.eng.vmware.com) 用に作成されていたことは、VMWare から流出したとの確信を裏付けるものだ」と主張している。その一方で、VMWare は The Daily Swig に対して、Nguyen への否定と同様に、「このエクスプロイトを、VMware が公開したという証拠は見つからない」と述べている。
漏洩事件の経緯
Nguyen によると、VMWare の WAF をバイパスするオリジナル・エクスプロイトを、8月31日に VMware の脆弱性開示プログラムを介して送ったとのことだ。このエクスプロイトは、同僚の研究者である Janggggg の協力を得て開発したものとされる。同一だと想定されるペイロードは、CVE-2021–26084 のプルリクエスト内の Nuclei プロジェクトに表示されていた。この脆弱性は、Confluence の開発者である Atlassian がパッチを適用したものであり、広範な悪用の対象となっている。
Nuclei のメンテナは、Nguyen と Janggggg がから出所に関する問い合わせを受けた後に、このエクスプロイトを削除したと Nguyen は述べている。この問題のペイロードを Nuclei に投稿した研究者の Dhiyaneshwaran は、「私は、このエクスプロイトを作成していない。Pastebin のスクレイピングで、このエクスプロイトに関連する [HTTP リクエスト] を発見しただけだ。また、私のツールは、ソース URL を記録していない」と、The Daily Swig に語っている。
Nguyen と Janggggg からのメールに対して、VMWare のセキュリティ・チームは、「当社のポリシーに従い、VMWare に報告された脆弱性が開示されることはなく、また、エクスプロイト/ペイロード/攻撃ベクトルなども開示されない」と答えている。
また、Rahul Maini と Harsh Jaiswal が公開した、同じ Confluence バグに対する3つ目のエクスプロイトを引き合いに出し、「このエクスプロイトは、他のセキュリティ研究者により公開されており、VMWare が公開していないことを確認している」と付け加えている。しかし、Nguyen は、ペイロードが異なること、また、Nuclei のプルリクエストが浮上した数時間後に公開されたことから、Maini と Jaiswal の書き込みとの関連性を否定している。
私たちにとっては非常に明確だ
Nguyen は、「我々が VMWare に送信したエクスプロイトのペイロードは、VMWare のサーバー用に作成されたものであり、他のターゲットでは使用できない。また、他の企業やバグバウンティ・プログラムに送信していないことから、我々のペイロードが何らかの形で VMWare から Nuclei プロジェクトに流出したことは極めて明白だ。
VMWare に送ったエクスプロイトは、私たちの著作物であり、VMWare に再配布の権利を与えていない」と述べている。なお、VMWare からは、メールの返信がなくなったとも付け加えている。
VMware の広報担当者は The Daily Swig に対して、「当社は、研究者コミュニティとの関係を重視していいる。なぜなら、彼らの貢献は、当社の顧客を保護し、製品を改善するのに役立つからだ。また、一般的に受け入れられているプロトコルを遵守し、悪用が報告された際には誠意をもって対応することで、バグバウンティ・プログラムに対する研究者の信頼を維持するよう努めている。今回のケースでは、VMware がエクスプロイトを公に流出させたという、証拠が見つからなかったことを研究者に伝えた。当社の報奨金プログラムの信頼性を高めることは当社にとって重要であり、改善の機会を求めてプロセスの見直しを続けている」と述べている。
研究者 Thanh Nguyen からは、このコメントに対する返信がないが、回答があった場合には記事を更新していく。
せっかくのバグ報告が、こんな形になってしまうと悲しいですね。VMware 専用のペイロードで、そのエンドポイントを指しているわけですから、Nguyen さんの言い分は理解できます。ただ、VMware 側の言い分を聞くと、こんなに意味のない行動を取るとも思えません。そもそも、Atlassian Confluence の脆弱性なので、微妙な温度差があるのかもしれませんね。バグバウンティも絡むので、余計に混乱しているのでしょうか・・・
IoT OT Security News 