VMware fixes critical code execution flaw in vCenter Server
2023/10/25 BleepingComputer — VMware が発表したのは、vCenter Server の脆弱性を悪用するリモートコード実行攻撃に対応するセキュリティ・アップデートである。vCenter Server は、VMware vSphere スイートの中央集権管理ハブであり、管理者たちによる仮想化インフラを管理/監視を効果的にするものだ。この脆弱性 CVE-2023-34048 (CVSS 9.8) は、Trend Micro – Zero Day Initiative の Grigory Dorodnov により報告されたものであり、vCenter の DCE/RPC プロトコル実装における境界外書き込みに起因するものだ。
この脆弱性は、vCenter の DCE/RPC プロトコル実装に存在する out-of-bound writeに起因し、ユーザーとの対話を必要としない複雑度の低い攻撃が、リモートかつ未認証の攻撃者により引き起こされる。だたし、この RCE の脆弱性 CVE-2023-34048 が、現時点において攻撃で悪用されているという証拠はないと、同社は述べている。
現時点において、この問題に対処するセキュリティ・パッチには、vCenter Server の標準的なアップデート・メカニズムを通じてアクセスできる。VMware は、このバグの致命的な性質を考慮し、サポートが終了した複数の製品に対しても、パッチを提供している。
VMware は、「VMware Security Advisories で、サポート終了製品について言及しないが、この脆弱性の重大性と回避策の欠如を考慮し、vCenter Server 6.7U3/6.5U3/VCF 3.x に対しても、一般的に利用可能なパッチを提供した」と述べている。もちろん、VMware は vCenter Server 8.0U1 用の追加パッチを適用している。VCF 5.x/4.x デプロイメント用の非同期 vCenter Server パッチの利用できる。
回避策は存在しない
回避策が存在しないため、ストレージやネットワーク・コンポーネントを含む、vSphere の管理コンポーネントやインターフェイスへのネットワーク境界アクセスを厳密に制御するよう、VMware は管理者に対して呼びかけている。
この脆弱性を狙う攻撃で悪用される可能性があるネットワークポートは、2012/tcp、2014/tcp、2020/tcp となる。
また、vCenter サーバに存在する、情報漏えいの脆弱性 CVE-2023-34056 (CVSS 4.3) も修正された。この脆弱性は、管理者権限を持たない脅威アクターが、機密データへのアクセスで悪用する可能性があるという。
VMware は別の FAQ において、「この問題は、緊急の変更と見なされるため、組織は迅速な対応を検討する必要がある。しかし、セキュリティ上の対応は、それぞれの状況により異なる。そのため、組織の情報セキュリティ担当者と相談して、適切な対応策を定めてほしい」と述べている。
2023年6月にも VMware は、vCenter Server に存在する、複数の深刻なセキュリティ欠陥を修正し、コード実行と認証バイパスのリスクを軽減した。同じ週に VMware は、中国の APT によるデータ窃盗攻撃で悪用された ESXi のゼロデイを修正し、Aria Operations for Networks 分析ツールに存在する深刻な脆弱性が、積極的に悪用されていることを顧客に警告した。
VMware vCenter の脆弱性 CVE-2023-34048 ですが、ご利用のチームは、早急にアドバイザリを、ご確認ください。VMware は、昨日の 2023/10/24 にも、VMware Aria の脆弱性 CVE-2023-34051 を公表していました。こちらには、PoC エクスプロイト・コードもあるようなので、ご確認ください。よろしければ、vCenter で検索も、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.