Exploit released for critical VMware RCE vulnerability, patch now
2022/10/28 BleepingComputer — VMware の Cloud Foundation/NSX Manager アプライアンスに存在し、未承認の攻撃者に root 権限によるリモート・コード実行 (RCE) を許してしまう、未パッチの脆弱性に対する PoC エクスプロイト・コードが公開された。この脆弱性 CVE-2021-39144 は、2つの VMware 製品で使用されている XStream オープンソース・ライブラリに存在し、VMware は CVSS 値 9.8 と評価している。
未認証の脅威アクターは、ユーザーとの対話が不要な低複雑度の攻撃により、この脆弱性をリモートから悪用できる。
火曜日に VMware は、MDSec の Sina Kheirkhah と。Source Incite の Steven Seeley により報告された、脆弱性 CVE-2021-39144 に対応するセキュリティ・アップデートをリリースした。さらに、この問題の重大性から、同社は一部の EOL 製品にもパッチを提供している。
また、同日に Kheirkhah は、PoC エクスプロイト・コードと技術的な分析を、Seeley のブログで公開した。
セキュリティ研究者たちは、「攻撃者は、特別に細工した XStream のマーシャル化されたペイロードをダイナミック・プロキシで送信し、root のコンテキストでリモート・コード実行を引き起こすことが可能だ」と説明している。
金曜日には VMware もアドバイザリを更新し、「VCF (NSX-V) に対する CVE-2022-39144 エクスプロイト・コードが公開されている」と確認している。
ワークアラウンドも公開
VMware は、一連のアプライアンスにパッチを適用する、セキュリティ・アップデートを直ちに導入できない管理者に対して、一時的な解決策も共有している。
別のサポート・ドキュメントに詳述されている手順によると、管理者は Cloud Foundation 環境の各 SDDC manager Virtual Machine に SSH でログインし、root アカウントで sudo する必要がある。
続いて、NSX for vSphere (NSX-V) のホット・パッチを適用して、XStream ライブラリをバージョン 1.4.19 にアップグレードし、攻撃ベクターを除去する必要があるとのことだ。
ただし、火曜日に公開された CVE-2021-39144 セキュリティ・アップデートの適用とは異なり、この回避策では、新しい VI ワークロード・ドメインを作成するたびに、管理者による同じ手順の繰り返しが必要となる。
8月に VMware は、VMware 製品群に存在する深刻な認証バイパスの脆弱性 CVE-2022-31656 を標的とする、別のパブリック PoC エクスプロイトについて顧客に警告した。パッチを適用していないアプライアンス上で、攻撃者が管理者権限を取得する恐れがあると、そのときに述べている。
また VMware は、10月に vCenter Server 8.0 (最新版) にアップデートした顧客に対して、2021年11月に公開された特権昇格の脆弱性に対応する、パッチを待つ必要があると通知している。
10月16日の「VMware Cloud Foundation の深刻な脆弱性 CVE-2021-39144 が FIX:RCE の可能性」で、この脆弱性についてはお伝えしていますが、その PoC エクスプロイトが提供されたようです。この XStream に起因する問題ですが、それ自身をアップデートしても、新しい VI ワークロード・ドメインを作成するたびに、同じ手順を繰り返すことが必要とのことです。よろしければ、VMware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.