CISA warns of critical VMware RCE flaw exploited in attacks
2023/03/10 BleepingComputer — CISA が新たに KEV カタログに追加したのは、VMware Cloud Foundation に存在する深刻な脆弱性であり、野放し状態での悪用が確認されているものだ。この欠脆弱性 CVE-2021-39144 は、VMware 製品で使用されている XStream オープンソース・ライブラリに起因するものであり、VMware の評価による深刻度スコアは 9.8 となっている。ユーザーの操作が不要な、低複雑度の脆弱性を悪用する未認証の脅威者は、パッチ未適用のアプライアンス上のルート権限で、リモートから任意のコードを実行可能になるという。
VMware は、「VMware Cloud Foundation (NSX-V) の入力シリアライゼーションのための、 XStream を活用する未認証のエンドポイントが原因となり、それらのアプライアンス上の root のコンテキストで、脅威アクターにリモートコード実行を許す可能性がある」と説明している。
MDSec の Sina Kheirkhah と Source Incite の Steven Seeley が報告した、脆弱性 CVE-2021-39144 に対応するセキュリティ・アップデートを、2022年10月25日に VMware は公開している。この問題の重大性から、VMware は一部の EoL 製品にもパッチを発行している。
なお、CVE-2021-39144 へのパッチがリリースされたと同時に、Kheirkhah は技術的な詳細と PoC エクスプロイト・コードを含むブログ記事を公開している。
2022年12月上旬から積極的に悪用されている
CISA は、脆弱性 CVE-2021-39144 を KEV (Known Exploited Vulnerabilities) カタログに追加することを決定し、このバグが野放し状態で悪用されていることを VMware と確認した。
木曜日に VMware は自社のアドバイザリで、「脆弱性 CVE-2021-39144 に関連する悪用活動の情報をもとに、アドバイザリを更新した」と述べている。
月曜日に Wallarm が明らかにしたように、脆弱性 CVE-2021-39144 の悪用は、セキュリティ・アップデートの僅か数週間後から始まり、2022年12月初旬から継続しているとされる。
Wallarm は、「当社のチームは、毎日のように何十もの脆弱性をハンティングし、分析しているが、この脆弱性は、直近の2ヶ月間において4万回以上も悪用されており、とりわけ興味深いものとなっている。アクティブな悪用は 2022-12-08 に始まり、いまも継続している。この脆弱性の悪用に成功した攻撃者は、任意のコード実行/データの窃取/ネットワーク・インフラの制御などが可能になるため、その影響は壊滅的なものとなるだろう」と述べている。
この欠陥が KEV カタログに追加されたことで、CISA は米国連邦政府機関に対して、3月31日までの3週間以内にシステムを保護するよう命じた。
CISA の命令の背景にある、2021年11月の拘束的運用指令 BOD 22-01 は、米国の連邦機関にのみ適用されるものであるが、継続的な攻撃からサーバを守るための修正は、すべての組織に対して推奨される。
CISA は、「この種の脆弱性は、脅威アクターたちが頻繁に悪用する攻撃エクターであり、連邦政府企業にとって重大なリスクとなる」と述べている。
この脆弱性 脆弱性 CVE-2021-39144 ですが、VMware ではなく XStream の欠陥として、CISA は KEV に追加しています。そして XStream ですが、Wikipedia には「オブジェクトを XML (または JSON) にシリアライズ/ デシリアイズするための Java ライブラリ」だと、記されています。なお、CISA は、LastPass 攻撃で悪用された Plex Media Server のバグも KEV に追加しました。
IoT OT Security News 
You must be logged in to post a comment.