VMware confirms critical vCenter flaw now exploited in attacks
2024/01/19 BleepingComputer — VMware が確認したのは、2023年10月にパッチが適用された vCenter Server の深刻なリモートコード実行の脆弱性が、現在でも活発に悪用されていることである。今週に VMware は、「脆弱性 CVE-2023-34048 の悪用が、実際に発生していることを確認した」と、オリジナル・アドバイザリに追加されたアップデートで述べている。
vCenter Server とは、VMware vSphere 環境の管理プラットフォームのことであり、それにより管理者たちは、ESX/ESXi サーバと仮想マシン (VM) の管理を効率化している。この脆弱性は、Trend Micro の脆弱性研究者 Grigory Dorodnov により報告されたものであり、vCenter の DCE/RPC プロトコル実装における、境界外書き込みに起因するものである。
この脆弱性をリモートから悪用する攻撃者は、認証やユーザーとのやり取りを必要としない複雑度の低い攻撃を仕掛けることで、エンタープライズの機密性/完全性/可用性に大きな影響を与えることが可能だという。この問題を重視する VMware は、アクティブなサポートが終了した複数の製品に対しても、セキュリティ パッチを発行している。
悪意のネットワーク・アクセス・ブローカーたちは、VMware サーバを乗っ取り、サイバー犯罪フォーラム上でランサムウェア・ギャングに販売していく。それにより、サイバー犯罪者たちは、企業ネットワークに簡単にアクセスできるようになる。
数多くのランサムウェア・グループである Royal/Black Basta/LockBit などに加えて、新興勢力である RTM Locker/Qilin/ESXiArgs/Monti/Akira などは、被害者の VMware ESXi サーバーを標的にすることで、ファイルの窃取と暗号化を行い、巨額の身代金を要求することで知られている。
Shodan のデータによると、現時点で 2,000 台以上の VMware Center サーバがオンライン上で公開され、攻撃が容易な状況となっている。vSphere の管理という役割を考慮すると、企業ネットワークが侵害リスクに直面していることになる。
この問題に対する回避策は存在しない。したがって VMware は、サーバにパッチを適用できない管理者に対して、vSphere 管理コンポーネントに関するネットワーク境界アクセスを厳密に制御するよう促している。
VMware は、「vSphere に対する全体的かつ効果的なセキュリティ体制の一環として、すべての管理コンポーネントとインターフェースおよび、ストレージやネットワークなどに関連するコンポーネントに対して、ネットワーク境界へのアクセス制御を厳密に行うことを強く推奨する」と警告している。
この脆弱性を狙った攻撃で悪用される可能性がある、ネットワーク・ポートとして特定されるのは、2012 tcp/2014 tcp/2020 tcp である。
2023年 6月にも VMware は、コード実行や認証バイパスのリスクを vCenter Server にもたらす、複数の深刻なセキュリティ欠陥を修正している。
また、同じ週に VMware は、中国の国家ハッカーがデータ窃取攻撃に使用した ESXi のゼロデイを修正し、さらには Aria Operations for Networks の深刻な脆弱性が積極的に悪用されているとして、顧客に警告を発した。
今年に入ってから、Ivanti Connect Secure/Ivanti EPMM/Citrix Netscaler などのゼロデイを含む、複数の脆弱性が活発に悪用されているとの警告に、IT 管理者とセキュリティ・チームは対処し続けている。
この脆弱性 CVE-2023-34048 について、お隣のキュレーション・チームに聞いてみたところ、2023年10月26日に報告しているとのことでした。直近の VMware に関する記事は、2024/01/16 の「VMware Aria Automation の脆弱性 CVE-2023-34063 が FIX:直ちにパッチを!」です。よろしければ、VMware で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.