VMware LPE Bug Allows Cyberattackers to Feast on Virtual Machine Data
2022/08/25 DarkReading — VMware Tools に存在する深刻なセキュリティ脆弱性により、企業データ/ユーザ情報/認証情報が漏洩することで、アプリケーションを格納する仮想マシンのローカル権限昇格 (LPE : local privilege escalation) および、完全な乗っ取りへの道が開かれる可能性が生じている。
VMware Tools は、Guest OS とユーザーとのやり取りを管理するための、VMware製品の機能群を有効にするサービスとモジュールのセットである。この Guest OS は、仮想マシンを駆動させるエンジンのことである。
今週に VMware が発表したセキュリティ勧告によると、この脆弱性 CVE-2022-31676 の CVSS 値は 7.0 と評価されている。Vulcan Cyber の Senior Technical Engineer である Mike Parkin によると、悪用の経路については、さまざまな形態が考えられるとのことだ。
彼は DarkReading に対して、「VMware のリリースで不明なことは、VMware 仮想コンソール・インターフェイスを介したアクセスや、Windows RDP や Linux Shell などの Guest OS へのリモート アクセスが、この脆弱性の悪用に必要なのかどうかという点だ。 Guest OS へのアクセスは制限する必要があるが、ローカル ユーザーとして仮想マシンへのログインを必要する、数多くのユース ケースがある」と語っている。
VMware は、この問題に対してパッチを適用しており、パッチ・バージョンの詳細はセキュリティ・アラートで確認できるようになっている。この不具合に対する回避策は存在しないため、このアップデートを適用して、危険を回避する必要がある。
この問題は、致命的とは言えないが、可能な限り早急にパッチ適用する必要があると Parkin は警告している。彼は、「クラウドへの移行が進んだ現在でも、VMware は多くの企業環境における仮想化の中心的存在であり、権限昇格の脆弱性は問題であると言える」と付け加えている。
Netenrich の Principal Threat Hunter である John Bambenek は、権限濫用を検出するための行動分析および、すでに正当なアクセス権を濫用している問題社員を検出するための、インサイダー脅威プログラムを導入することを推奨している。彼は、「VMware および関連するシステムは、最も特権的なシステムを管理しており、これを侵害されることは、脅威アクターの継続的な活動を増長するものとなる」と述べている。
VMware が8月の初めにも、オンプレミス実装において、攻撃者に認証バイパスと、イニシャル・ローカル・アクセスを許し、今回のような LPE 脆弱性の悪用を可能にする、深刻な脆弱性を公表している。
この脆弱性 CVE-2022-31676 ですが、お隣のキュレーション・チームに聞いてみたところ、2月25日にレポートをアップしているとのことでした。また、Debian の ope-vm-tools にも影響しているようで、そちらは 8月31日にアップということでした。8月の VMware は、脆弱性 CVE-2022-31656 の PoC エクスプロイトが公開されていることが分かり、緊急のパッチ適用が行われていました。よろしければ、VMware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.