VMware Patches Remote Code Execution Flaw Found in Chinese Hacking Contest
2024/09/17 SecurityWeek — Broadcom 傘下の VMware が 9月17日にリリースしたパッチは、vCenter Server プラットフォームの2つの深刻な脆弱性に対処するものだ。1つ目の脆弱性 CVE-2024-38812 (CVSS:9.8) は、vCenter Server 内の分散コンピューティング環境/DCERPC (Remote Procedure Call) プロトコルの実装における、ヒープ・オーバーフローの脆弱性である。この脆弱性について VMware は、サーバに対してネットワーク・アクセスが可能な攻撃者が、特別に細工されたパケットを送信して、リモート・コード実行を達成する恐れがあると警告している。
2つ目の脆弱性 CVE-2024-38813 (CVSS:7.5) は、権限昇格の脆弱性である。VMware は、「vCenter Server に対してネットワーク・アクセスが可能な攻撃者が、特別に細工したネットワーク・パケットを送信することで、この脆弱性をトリガーして、権限をルートに昇格させる可能性がある」と述べている。
これらの脆弱性は、VMware vCenter Server 7.0/8.0 および、VMware Cloud Foundation 4.x/5.x に影響を及ぼす。すでに VMware は、これらの脆弱性を修正した、ユーザー向けのパッチを提供しており、vCenter Server 8.0 U3b/7.0 U3s と Cloud Foundation に対応している。現時点では、いずれの脆弱性においても回避策は見つかっていないため、パッチを適用することが唯一の解決策となる。
VMware の説明によると、中国の著名ハッキング・コンテストである 2024 Matrix Cup に参加した研究チームが、これらの脆弱性を発見したとのことだ。この Matrix Cup は、主要な OS プラットフォーム/スマートフォン/エンタープライズ・ソフトウェア/ブラウザ/セキュリティ製品などにおける、ゼロデイ脆弱性を発見するためのコンテストである。
2024年6月に開催された Matrix Cup は、中国のサイバー・セキュリティ企業である Qihoo 360 と Beijing Huayun’an Information Technology がスポンサーとなっている。
中国の法律では、一般市民が発見したゼロデイ脆弱性は、速やかに政府に報告しなければならないと定められている。そのため、セキュリティ脆弱性の詳細は、当該製品のメーカーを除いて、いかなる第三者にも販売/提供できないとされている。この法律が、中国政府によるゼロデイの蓄積に役立つのという懸念が、サイバー・セキュリティ業界で高まっている。
この法律が施行されてから1年後の時点で、ゼロデイ攻撃は急増していると、Microsoft は公表している。実際に、中国政府の支援を受けてたとみられる脅威アクターたちは、米国の政府と機関などへの攻撃において、ゼロデイ脆弱性を定期的に悪用している。
過去においては、VMware vCenter のゼロデイ脆弱性も、中国関連の APT グループに悪用されてきた。
中国のバグバウンティ・プログラム Matrix Cup からの報告により、VMWare vCenter Server の脆弱性 CVE-2024-38812/38813 が FIX しました。ご利用のチームは、十分に ご注意いください。なお、文中でも指摘されているように、中国における脆弱性情報の取り扱いは、北京政府のコントロール下にあるようです。よろしければ、以下のリンクも、ご参照ください。
2024/06/18:中国のサイバー Offense/Defense パワー:ETH Zurich
2021/09/01:中国政府の脆弱性報告 Web サイトは4つの分野に対応する
IoT OT Security News 
You must be logged in to post a comment.