VMware fixes critical vulnerability in vRealize network analytics tool
2023/06/07 BleepingComputer — 6月7日に、VMware Aria Operations for Networks における複数の深刻な脆弱性に対処するための、セキュリティ・パッチがリリースされた。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報へのアクセスが可能になる。このネットワーク可視化/分析ツールは、管理者によるネットワーク・パフォーマンスの最適化や、各種の VMware/Kubernetes 展開の管理/拡張などを可能にするものであり、以前は vRealize Network Insight (vRNI) として知られていた。
6月7日に修正された3つのセキュリティ脆弱性のうちで、最も深刻なものは、コマンド・インジェクションの脆弱性 CVE-2023-20887 である。この脆弱性は、認証されていない脅威アクターが、ユーザーの操作を必要としない低難度の攻撃で悪用できるものだ。
この脆弱性について Vmware は 、「VMware Aria Operations for Networks へのネットワーク・アクセスを持つ悪意のオペレーターが、コマンド・インジェクション攻撃を実行し、リモート・コード実行へといたる可能性がある」と説明している。
修正された2つ目の脆弱性は、CVE-2023-20888 だ。VMware Aria Operations に存在する認証されたデシリアライズの脆弱性であり、攻撃者にリモート・コード実行を許す可能性がある。
CVE-2023-20887 と同様に、リモート・コード実行につながるデシリアライズ攻撃を成功させるためには、脆弱なアプライアンスへのネットワーク・アクセスと、有効な “’member’” ロールの認証情報が必要となる。
3つ目の脆弱性は、情報漏えいの脆弱性 CVE-2023-20889 だ。この脆弱性により、攻撃者は、コマンド・インジェクション攻撃に成功した後に、機密情報にアクセスできるようになる。
現時点で回避策はなし
WMware によると、一連の攻撃ベクターを取り除くための回避策は存在しないため、管理者は、すべての VMware Aria Operations Networks 6.x のオンプレミス・インストールにパッチを当て、攻撃から保護する必要があるという。
これらの脆弱性に対処するためにリリースされたセキュリティ・パッチの全リストは、VMware の Customer Connect Web サイトを参照すれば、脆弱な Aria Operations for Networks の全バージョンについて確認できるようになっている。
同ページでは、パッチ・バンドルの適用に必要な手順が詳述されている。アップデート・パッチ・ファイルをダウンロードし、vRNI GUI で Administrator ユーザーとしてログインした状態でアップロードし、Settings > Install and Support > Overview and Updates からインストールする必要がある。
また、4月にも VMware は、ログ解析ツール vRealize Log Insight において、攻撃者が root としてコードを実行できる深刻なバグに対処している。
その数カ月前には、Horizon3 の攻撃チームが、1週間前にパッチを適用した同じ VMware 製品の別の一連の重大なセキュリティ脆弱性の、PoC エクスプロイトコードを公開している。
VMware の脆弱性情報ですが、同社のプラットフォームは常に脅威アクターたちに狙われています。つい先日の 2023/05/12 には、「Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された」という記事がポストされていました。よろしければ、以下の関連記事も、ご参照ください。
2023/04/27:RTM Locker ランサムウェア:VMware を狙う
2023/04/20:VMware Aria Operations for Logs の脆弱性 が FIX
2023/03/10:CISA KEV 警告 23/03/10:VMware の RCE 脆弱性
IoT OT Security News 
You must be logged in to post a comment.