VMware Aria の脆弱性 CVE-2023-34051:PoC エクスプロイト・コードも公表される

VMware warns admins of public exploit for vRealize RCE flaw

2023/10/24 BleepingComputer — 10月23日 (月) に VMware は、vRealize Log Insight (現在は VMware Aria Operations for Logs) に存在する認証バイパスの脆弱性対する、PoC エクスプロイト・コードが提供されたことを顧客に警告した。同社のアドバイザリには、「脆弱性 CVE-2023-34051 の PoC エクスプロイト・コードの公開を確認し、VMSA を更新した」と記されている。この脆弱性 CVE-2023-34051 は、特定の条件が満たされた場合に、未認証の攻撃者に対して、root 権限でリモート・コード実行を許すものである。


このバグを発見した Horizon3 のセキュリティ研究者たちによると、標的環境内のホストを侵害した攻撃者がが、追加インターフェースまたは静的 IP アドレスを追加する権限を持っている場合において、この脆弱性の悪用が成功するという。

10月20日 (金) に Horizon3 は、このセキュリティ上の不具合について、技術的かつ根本的な原因の分析結果を発表し、CVE-2023-34051 に対してパッチが適用されていないVMwareアプライアンス上で、root としてリモート・コード実行を可能にする情報も公開した。

また、PoC エクスプロイトをリリースしたセキュリティ研究者たちは、エンタープライズ環境内でネットワーク防御者が、悪用の試みを検出する際に利用できる IOC (Indicator of Compromise) のリストも公開した。

Horizon3 Attack Team は、「この PoC は、IP アドレスのスプーフィングと各種の Thrift RPC エンドポイントを悪用することで、任意のファイルの書き込みを実現しする。この脆弱性のデフォルトのコンフィグレーションで、リバースシェルを作成するために cron ジョブを書き込む。利用している環境に合わせて、ペイロード・ファイルを必ず変更してほしい。この攻撃が機能するためには、master /worker nod と同じ IP アドレスを、攻撃者が持っている必要がある」と述べている。

CVE-2023-34051PoC exploit tweet
RCE エクスプロイト・チェーンのバイパス

この脆弱性は、2023年1月に VMware がパッチ適用した、深刻なエクスプロイト・チェーンをバイパスするものであり、攻撃者にリモートからのコード実行を許す可能性がある。

そのときの、1つ目の脆弱性 CVE-2022-31706 はディレクトリ・トラバーサルのバグであり、2つ目の脆弱性 CVE-2022-31704 はアクセス制御の不具合、3つ目の脆弱性 CVE-2022-31711 は情報漏えいのバグであり、それらを連鎖させる攻撃者は、セッションやアプリケーションの機密情報にアクセスすることが可能だった。

したがって、これらの脆弱性 (VMSA-2023-0001) を連鎖させる攻撃者たちは、パッチが適用されていない Aria Operations for Logs ソフトウェアを実行している、VMware アプライアンスのオペレーティング・システムに対して、悪意を持って細工したファイルを注入することが可能だった。

Horizon3 のセキュリティ研究者たちは、同社がセキュリティ・アップデートを提供した1週間後に、VMSA-2023-0001 の PoC エクスプロイトを公開した。その際に彼らは、「この RCE エクスプロイトは、さまざまな Thrift RPC エンドポイントを悪用して任意のファイルを書き込むものだ」と説明していた。

研究者たちは、「この脆弱性を悪用するのは簡単だが、悪意のペイロードを提供するためのインフラを、攻撃者はセットアップする必要がある。さらに、この製品がインターネットに公開される可能性は低いため、攻撃の前提として、ネットワーク上のどこかに足場を築いている必要性がある。ただし、以前に侵害したネットワーク内の脆弱性を悪用する攻撃者たちは、頻繁に横方向への移動を行うため、彼らにとって脆弱な VMware アプライアンスは、貴重な内部ターゲットとなる」と指摘している。

2023年6月にも VMware は、VMware Aria Operations for Networks の深刻なリモート・コード実行の脆弱性 CVE-2023-20887 が、攻撃で悪用されているとして、顧客に対して警告を発している。

脆弱性の公表およびパッチの適用と、PoC エクスプロイト・コードの公開が、同時にくるという、ちょっと珍しい展開です。VMware と Horizon3 との間で、調整が旨くいかなかったのかと勘ぐってしまいます。VMware Aria に関しては、2023/07/10 の「VMware Aria Operations for Logs の脆弱性 CVE-2023-20864:PoC エクスプロイトが公開」と、2023/06/21 の「VMware Aria Operations for Networks の脆弱性 CVE-2023-20887:すでに悪用を検出」という記事があります。よろしければ、VMware Aria で検索と併せて、ご利用ください。