Experts released VMware vRealize Log RCE exploit for CVE-2022-31706
2023/01/31 SecurityAffairs — 先週に、Horizon3 Attack Team の研究者たちは、VMware vRealize Log におけるリモート・コード実行の脆弱性 CVE-2022-31706 (CVSS:9.8) の PoC エクスプロイト・コードを公開した。この PoC エクスプロイト・コードは、VMware vRealize Log の一連のバグをトリガーとして、脆弱な運用環境においてリモート・コード実行を実現するものだ。
VMware Aria Operations for Logs (旧 vRealize Log Insight) は、syslog データの収集/表示/管理/分析などのために管理者が用いる、ログ収集および分析用仮想アプライアンスである。それにより、アプリケーションログ/ネットワーク・トレース/設定ファイル/メッセージ/パフォーマンス・データなどが、リアルタイムに監視される。
先日に VMware は、同アプライアンスにおける複数の脆弱性 (CVE-2022-31706/CVE-2022-31704/CVE-2022-31710/CVE-2022-31711) に対処している。
同製品に影響を与える脆弱性のうち、最も深刻なものは、ディレクトリ・トラバーサルの脆弱性 CVE-2022-31706 (CVSS:9.8) /アクセス・コントロールの破損の脆弱性 CVE-2022-31704 (CVSS:9.8) だ。
Vmware のアドバイザリでは、「2つ脆弱性のいずれかの悪用することで、未認証の攻撃者が、影響を受けるアプライアンスの OS にファイルを注入し、リモート・コード実行が可能になる」と説明されている。
VMware が修正した残りの脆弱性は以下の通りだ。
- CVE-2022-31710:デシリアライズの脆弱性 (CVSS:7.5):リモートの攻撃者に悪用され、信頼できないデータのデシリアライズを誘発し、サービス拒否につながる可能性がある。
- CVE-2022-31711:情報漏えいの脆弱性 (CVSS:7.5) :リモートの攻撃者に悪用され、認証なしでセッションやアプリケーションの機密情報を収集される可能性がある。
先週に Horizon3 のチームが公開した投稿には、上記の問題に対する悪用の検出に有益な IOC (indicators of compromise) のリストが含まれている。専門家たちが Shodan 検索エンジンを使用したところ、45台の VMware vRealize Log Insight アプライアンスが、オンラインで晒されているのが発見されたという。
そして今日、Horizon3 は、任意のファイル書き込みを実現する PoC エクスプロイト・コードと、技術的な詳細を公開した。専門家たちの投稿には、「この POC は、様々な Thrift RPC エンドポイントを悪用して、任意のファイル書き込みを実現する」と書かれている。
彼らは、情報収集を開始にあたり、この問題の解決方法を理解するために、ベンダーが提案した回避策を分析した。
この回避策は、Thrift RPC プロトコルを使用する TCP ポート 16520〜16580 を制限している。Apache Thrift は、Thrift インターフェース定義言語を使って RPC クライアントとサーバーをサポートする、言語横断的な RPC フレームワークだ。このような状況から、問題は RPC サーバーにあると、専門家たちは判断した。
要約すると、研究者たちは Thrift クライアントを作成し、Log Insight Thrift サーバーに認証なしでアクセスできるようにした。続いて、有効な Pak ファイルを使用して、ディレクトリ・トラバーサルを実施するための細工したtarファイルを作成した。そして、remotePakDownloadCommand を使用して、悪意の Pak ファイルを /tmp/.pak にアップロードした。
その後に、pakUpgradeCommand を使用して Pak ファイルを展開した。このプロセスにより、ファイル・システム上の任意の場所への、悪意のファイルの書き込みに成功した。
現時点では、この脆弱性を悪用した攻撃は報告されていない。しかし、脅威アクターたちが、標的のネットワークに足がかりを得ると、独自のエクスプロイトを使用し始めるだろう。したがって、VMware の運用環境は危険に晒されることになる。
2023/01/24 の「VMware vRealize Log Insight における4つの深刻な脆弱性が FIX」で後書に記したように、PoC エクスプロイトが公開されました。今日の記事を読む限りでは、この PoC エクスプロイトによる回避策の突破が可能なのかどうか、そのあたりが明確ではありません。なお、最近の VMware 関連の記事としては、以下のものがあります。
2022/12/13:VMware ESXi に新たな Python バックドア
2022/11/09:Workspace ONE Assist の脆弱性が FIX
2022/10/28:Cloud Foundation の脆弱性:PoC エクスプロイトが公開
IoT OT Security News 
You must be logged in to post a comment.