VMware vCenter の脆弱性 CVE-2021-22005:攻撃者たちの準備は整っている

Hackers exploiting critical VMware vCenter CVE-2021-22005 bug

2021/09/24 BleepingComputer — VMware vCenter Server の脆弱性 CVE-2021-22005 に関連する、リモートコード実行の PoC エクスプロイトが公開され、すでに攻撃者たちも使用している。この、先日に公開されたバグには、VMware も対処している。このバグの深刻度は CVSS 9.8 であり、入手可能なパッチのインストールが強く推奨されている。

攻撃の開始

この脆弱性は、vCenter Server のバージョン 6.7/7.0 を実行しているマシンに影響する。この問題の深刻さを考慮し、すでにネットワーク上に脅威アクターがいて、悪用の準備を完了しているという前提で、VMware は管理者に対して早急な行動を求めている。

脅威情報会社である Bad Packets が BleepingComputer に公表したところによると、インターネットに接続されている vCenter サーバーは、その複数のポートを、さまざまな国から狙われているとのことだ。VMware は、任意のファイルをアップロードする脆弱性である、CVE-2021-22005 に関するセキュリティ・アドバイザリの更新において、その事実を確認している。

Bad Packets のデータによると、9月24日 16時21分 (GMT) の時点で、カナダ/米国/ルーマニア/オランダ/中国/シンガポールから、VMware のハニーポットに対して攻撃が開始されたことが判明している。これらの攻撃の兆候は、VMware がセキュリティ問題を公表し、パッチをリリースした直後に発見されている。その数時間後には、CVE-2021-22005 を対象としたスキャン活動を、Bad Packets は確認している。

エクスプロイトのきっかけ

Bad Packets の CEO である Troy Mursch が BleepingComputer に語ったところによると、同社のハニーポットに対して行われた攻撃には、ベトナムのセキュリティ研究者 Jang が 9月24日未明に公開した、不完全なエクスプロイトをベースにしたコードが使用されていたとようだ。

Jang は、CVE-2021-22005について、回避策と VMware からのパッチに基づくテクニカルノートを公開している。その詳細は、経験豊富な開発者が、root 権限でのリモートコード実行を可能にする、エクスプロイトを作成するのに十分なものだと、この研究者は BleepingComputer に語っている。

この投稿の最後に、Jang は CVE-2021-22005 の PoC エクスプロイトへのリンクも掲載している。ただし、これは完全に機能するバリアントではない。スキルの低い脅威アクターが攻撃に使用するのを、防ぐという意図がある。

この研究者によると、リモートコード実行につながる重要な部分が欠けているため、現在のコードには害はないとのことだ。このコードを本格的なエクスプロイトにするには、ある程度の努力が必要ですが、完全に信頼できるエクスプロイトの作成が可能だという。

Synack Envoy の Penetration Tester である Nicolas Krassas は、このコードをテストし、正しく動作させるには、いくつかの修正が必要であることを確認している。しかし、CVE-2021-22005 を使って、脆弱なシステムにバックドアを仕掛けられることは証明された。

攻撃は間近に迫っている

Jang は、完全に機能するエクスプロイトを作成し、制御された環境でテストした。その結果、そのエクスプロイトは正常に動作し、検知器が捕捉する前にリモートコードを実行できることが分かったという。現在、インターネットに接続されたデバイスの検索エンジンでは、何千もの VMware vCenter Server インスタンスがパブリック・インターネットにさらされている。Shodanでは 5,000台以上のマシンが検索され、Censysでは約6,800台が検索された。

しかし、すべてのサーバに CVE-2021-22005 の脆弱性が存在するわけではない。Censys では、これらのインターネット接続されたホストのうち 3,264台に「潜在的な脆弱性がある」とし、436台にはパッチが適用されているとしている。しかし、潜在的なターゲットの数は非常に多く、また、脆弱なマシンをスキャンすることに、脅威アクターたちが早くから関心を持っていたことを考えると、攻撃が差し迫っていると結論づけることは容易だ。

BleepingComputerの 取材に対して Jang は、平均的なスキルを持つ攻撃者であれば、信頼性の高いエクスプロイト・バージョンを構築するのに、1時間程度で済むと述べている。同氏は、CVE-2021-22005 を利用した攻撃から身を守るために、管理者がシステムにパッチを当てることを強く推奨している。

米国の CISA (Cybersecurity and Infrastructure Seurity Agency) は、脆弱な vCenter を導入している重要インフラ組織に対して、VMware が提供する更新プログラムまたは回避策を適用するよう求めている。

Censys は、すでに公開されている技術的な詳細情報をもとに、リモートコード実行のエクスプロイトを作成することは、それほど困難ではないと説明している。また、どのようにして、この脆弱性を攻撃者が悪用するのかを示す、ビデオも公開されている。

セキュリティの維持のためにも必要で、とても便利な VMware vCenter Server ですが、それ自身が侵害されてしまうと、とても危険な状況へと陥ってしまいます。すでに、ハニーポットへ向けた攻撃が観測されているようです。脅威アクターたちが、準備を完全に整える前に、対策を講じてください。

%d bloggers like this: