CISA KEV 警告 24/01/22：VMware vCenter の脆弱性 CVE-2023-34048 を追加

CISA Adds VMware vCenter Server Bug To Its Known Exploited Vulnerabilities Catalog

2024/01/23 SecurityAffairs — U.S. Cybersecurity and Infrastructure Security Agency (CISA) は、VMware vCenter Server に存在する、Out-of-Bounds Write の脆弱性 CVE-2023-34048 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェアの重要なコンポーネントであり、また、VMware の仮想化データセンターの集約的かつ包括的な管理プラットフォームとして機能する。

2023年10月に VMware は、この脆弱性 CVE-2023-34048 (CVSS：9.8) に対処しているが、2023年1月18日になって情報を更新した。同社のアドバイザリには、「2024年1月18日の時点において、VMwareは、野放し状態でのエクスプロイトを認識している」と記されている。

その一方で、今週になって Mandiant の研究者たちが、中国に関連する APT グループ UNC3886 が、遅くとも 2021年後半から vCenter Server の脆弱性 CVE-2023-34048 を、ゼロデイとして悪用してきたと報告した。

2023年6月にも Mandiant は、VMware ESXi のゼロデイ脆弱性 CVE-2023-20867 を悪用する、サイバー・スパイ・グループ UNC3886 を観測している。そして同社は、2022年9月に VMware ESXi Hypervisors 内で、新しいマルウェア永続化技術を発見した際に、このグループの活動について初めて詳述した。

この手法は、マルウェア作者が VMware ESXi Hypervisors 内で管理者アクセスを達成し、vCenter サーバーと Windows および Linux 用の仮想マシンを乗っ取るために使用されたものだ。

この標的型攻撃の、高度な回避能力に気づいて専門家たちは、UNC3886 として追跡されている中国由来のアクターによる、サイバー・スパイ行為に関連すると捉えている。

2022年9月に Mandiant が調査した攻撃では、この脅威アクターは悪意の vSphere Installation Bundles (VIB) を利用して、VIRTLPUAITA および VIRTUALPIE として追跡されている２つのバックドアを、ESXi ハイパーバイザにインストールした。VIB とは、仮想システムを管理するために設計されたファイルの集合体のことであり、ESXi マシンの再起動時に、スタートアップ・タスク／カスタムファイ・アウォールのルール作成／カスタム・バイナリの展開などに使用されるものだ。

Mandiant が実施した調査により、UNC3886 グループが EDR ソリューションを回避して、複数の組織を標的にするために使用した、さらなる追加テクニックも明らかになっている。2023年の後半に Mandiant は、一連のバックドアが展開される数分前に、VMware vmdird サービスがクラッシュしていることに気づいた。

Mandiant のレポートには、「VMware Product Security と協調して実施した vmdird コアダンプの分析によると、一連のプロセス・クラッシュは、2023年10月にパッチが適用された vCenter の脆弱性 CVE-2023-34048 がもたらす、DCE/RPC プロトコル実装における境界外書き込みの悪用と密接に一致している。その結果として、脆弱なシステム上で認証されていないリモートコマンド実行が可能になっていた」と、記されている。

Mandiant は、2021年後半から2022年前半にかけて、複数の UNC3886 侵害のケースで、このクラッシュを観測している。研究者たちが気づいたのは、これらのクラッシュが観測された大半の環境では、ログエントリは保存されていても、vmdird コアダンプが削除されていたことである。

同レポートは、「VMware のデフォルト構成では、コア ダンプがシステム上に無期限に保存されている。したがって、攻撃者が痕跡を隠蔽するために、意図的にコア ダンプが削除されたことが示唆される。VMware アドバイザリで述べられているように、この脆弱性は vCenter 8.0U2 でパッチ適用されている。したがって Mandiant では、この脆弱性が悪用されている状況を考慮して、VMware ユーザーに対して、vCenter の最新バージョンへと更新することを推奨している」と、締め括っている。

BOD (Binding Operational Directive) 22-01 によると、既知の脆弱性の悪用による重大なリスクを軽減するために、FCEB 機関は、カタログの脆弱性に対して、期日までに対処し、欠陥を悪用する攻撃からネットワークを保護する必要がある。

専門家たちが推奨するのは、民間組織もカタログを見直し、インフラの脆弱性に対処することである。

Vmware vCenter の脆弱性 CVE-2023-34048 ですが、第一報は 2023/10/25 の「VMware vCenter Server の脆弱性 CVE-2023-34048 が FIX：サポート終了製品も対象」であり、第二報は 2024/01/19 の「VMware の脆弱性 CVE-2023-34048：2021年から中国の APT がゼロデイとして悪用」となっています。よろしければ、CISA KEV ページも、ご参照ください。