VMware fixes bad patch for critical vCenter Server RCE flaw
2024/10/22 BleepingComputer — VMware vCenter Server に存在する深刻なリモート・コード実行の脆弱性 CVE-2024-38812 に対する、新たなセキュリティ・アップデートをリリースされたが、この脆弱性は、2024年9月の最初のパッチで正しく修正されなかったものと説明されている。この脆弱性 CVE-2024-38812 (CVSS v3.1:9.8) は、vCenter の DCE/RPC プロトコル実装におけるヒープ・オーバーフローに起因し、vCenter Server/vSphere/Cloud Foundation などを取り込んだ製品に影響を及ぼす。
この脆弱性の悪用に関しては、特別に細工されたネットワーク・パケットの受信により、リモート・コード実行がトリガーされるため、ユーザーの操作は不要である。
この脆弱性は、中国のハッキング コンテスト 2024 Matrix Cup において、TZL のセキュリティ研究者たちにより発見された。その時には、VMware vCenter にも影響を及ぼすとされる、深刻な権限昇格の脆弱性 CVE-2024-38813 も公開されている。
VMware の説明は、この2件の脆弱性に関する以前のセキュリティ更新では、RCE の欠陥が正しく修正されなかったというものであり、vCenter 7.0.3/8.0.2/8.0.3 に対して新しいパッチを発行する必要があったというものだ。
同社の更新されたセキュリティ・アドバイザリには、「2024年9月17日にリリースされた vCenter パッチでは、脆弱性 CVE-2024-38812 対して、完全に対処できないと判断した。すべてのユーザーに対して強く推奨されるのは、現時点のレスポンス・マトリックスに記載されているパッチを適用することだ」と、記されている。
この最新のセキュリティ・アップデートは、VMware vCenter Server 8.0 U3d/8.0 U2e/7.0 U3t で利用できる。その一方で、サポート期間が終了した、古い製品バージョン vSphere 6.5/6.7 なども影響を受けることが確認されているが、セキュリティ・アップデートは提供されない。
なお、上記の2つの脆弱性には回避策が存在しないため、影響を受けるユーザーに対して推奨するのは、可能な限り早急に、最新のアップデートを適用することである。
VMware の声明によるとは、現時点においては、これらの脆弱性に対する悪用は確認されていないとのことだ。詳細については、このセキュリティ情報に付随する Q&A を参照してほしい。
脅威アクターたちは頻繁に、VMware vCenter の脆弱性を標的として、権限昇格や仮想マシン・アクセスを仕掛けてくる。したがって、これらの新しいセキュリティ・アップデートを早急に適用することが必要とされる。
今年の初めに Mandiant は、中国政府に支援されるハッカー・グループ UNC3886 が、vCenter Server の深刻な脆弱性 CVE-2023-34048 を悪用し、VMware ESXi 仮想マシンにバックドアを仕掛けていたことを明らかにしている。
この脆弱性 CVE-2024-38812/38813 ですが、お隣のキュレーション・チームに聞いてみたところ、9月9日付けでレポートしているとのことでした。しかし、このときのパッチが NG であり、新たなアップデートが提供されたとのことです。ちょっと、面倒な話になってきていますので、ご利用のチームは、十分に ご注意ください。よろしければ、VMware vCenter で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.