VMware fixes bug exposing CF API admin credentials in audit logs
2023/07/25 BleepingComputer — VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正された。TAS for VMは、オンプレミス/パブリック/プライベート・クラウド (vSphere/AWS/Azure/GCP/OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものだ。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっている。
具体的に言うと、パッチが適用されていない TAS for VMs インスタンスにおいて、16 進エンコードされた CF API 管理者認証情報が、プラットフォーム・システムの監査ログに記録されることに起因するバグである。
この脆弱性を悪用する脅威者は、盗み出した認証情報を用いて、悪意のアプリのバージョンをプッシュできるようになる。
VMware は、「このプラットフォーム・システムの監査ログにアクセスできる悪意の非管理者ユーザーが、16進数エンコードされた CF API 管理者資格情報にアクセスし、悪意のアプリケーション・バージョンをプッシュする可能性がある」と述べている。
ただし、幸いなことに、標準的な導入構成では管理者以外のユーザーが、システム監査ログにアクセスすることはできないと、VMware は強調している。
管理者クレデンシャルのローテーションを推奨
その一方で VMware は、脆弱性 CVE-2023-20891 の影響を受ける全ての TAS for VMs ユーザーに対して、流出したパスワードを攻撃者に利用されないようにするために、CF API 管理者クレデンシャルをローテーションするよう助言している。
VMwareは、Cloud Foundry User Account and Authentication (UAA) の管理者認証情報を変更するための詳細な手順を、このサポート・ドキュメントで提供している。
VMware は、「TAS は UAA 管理者ユーザーのパスワード変更を、公式にはサポートしていない。上記の手順は、Operations Manager テスト・スイートとして公式にテストされていないため、自己責任で使用してほしい」と警告している。
同社は、「uaac ユーティリティによる、管理者パスワードの変更を思いつくかもしれない。しかし、その方式では、UAA 管理者ユーザーのパスワードが更新されるだけであり、十分ではない。つまり、Operations Manager が同期されず、ジョブや操作が失敗する可能性が生じる」と付け加えている。
先月にも VMware は、コード実行と認証バイパスを引き起こす、vCenter Server の申告なセキュリティ・バグに対処した。また、中国のハッキング・グループが悪用する ESXi のゼロデイを修正し、Windows/Linux の仮想マシンをバックドア化するデータ窃取攻撃にも対処した。
さらに最近では、ログ解析ツール VMware Aria Operations for Logs に存在する深刻な RCE の脆弱性を、悪用するためのコードが公開されているとして、顧客に警告を発している。
最近の VMware に関するトピックとしては、2023/07/10 の「VMware Aria Operations for Logs の脆弱性 CVE-2023-20864:PoC エクスプロイトが公開」と、2023/06/28 の「Akira ランサムウェアの Linux 版が登場:VMware ESXi サーバが標的に」が気になっています。よろしければ、VMware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.