VMware は、システム監査ログを介してログに記録され、公開される資格情報によって引き起こされる VMware Tanzu Application Service for VMs (TAS for VMs) および分離セグメントの情報漏えいの脆弱性にパッチを適用しました。
TAS for VM は、企業がオンプレミスまたはパブリックおよびプライベート クラウド (vSphere、AWS、Azure、GCP、OpenStack など) にわたるアプリケーションのデプロイメントを自動化するのに役立ちます。
CVE-2023-20891 として追跡され、Vmware が本日対処したセキュリティ欠陥により、ユーザーの介入を必要としない複雑さの低い攻撃で、低い権限を持つリモート攻撃者がパッチが適用されていないシステム上の Cloud Foundry API 管理者認証情報にアクセスできる可能性があります。
これは、VM インスタンス用のパッチが適用されていない TAS では、16 進数でエンコードされた CF API 管理者の資格情報がプラットフォーム システム監査ログに記録されるために発生します。
この脆弱性を悪用する攻撃者は、盗んだ認証情報を使用して、悪意のあるアプリのバージョンをプッシュする可能性があります。
「プラットフォームのシステム監査ログにアクセスできる悪意のある非管理者ユーザーは、16 進数でエンコードされた CF API 管理者認証情報にアクセスし、アプリケーションの新しい悪意のあるバージョンをプッシュすることができます」と VMware は述べています。
幸いなことに、VMware が強調しているように、管理者以外のユーザーは標準の展開構成ではシステム監査ログにアクセスできません。
管理者の資格情報のローテーションが推奨されます
ただし、同社は依然として、CVE-2023-20891 の影響を受けるすべての TAS for VMs ユーザーに対し、攻撃者が漏洩したパスワードを使用できないようにするために、CF API 管理者の資格情報をローテーションするようアドバイスしています。
VMware は、 このサポート ドキュメントで Cloud Foundry ユーザー アカウントと認証 (UAA) 管理者の資格情報を変更する詳細な手順を提供しています。
「TAS は、UAA 管理者ユーザーのパスワード変更を正式にサポートしていません。上記の手順は Operations Manager テスト スイートの一部として正式にテストされていないため、自己責任で使用してください」と VMware は警告しています。
「uaac ユーティリティを使用して管理者ユーザーのパスワードを変更したくなるかもしれません。残念ながら、これでは UAA で管理者ユーザーのパスワードが更新されるだけなので十分ではありません。これにより、Operations Manager が同期されなくなり、ジョブや用事が失敗する可能性があります。 」
先月、VMware は、コードの実行と認証のバイパスを可能にするvCenter Server の重大度の高いセキュリティのバグに対処しました。
また、中国支援のハッキング グループが Windows および Linux 仮想マシンのバックドアを利用してデータ盗難攻撃に悪用したESXi ゼロデイも修正されました。
最近、同社は、VMware Aria Operations for Logs 分析ツールの重大な RCE 脆弱性を悪用するコードが利用可能になったことを顧客に警告しました。
Comments