VMware

ブロードコムは、VMware vCenter Server の重大な脆弱性を修正しました。この脆弱性を悪用すると、攻撃者はネットワーク・パケットを介して、パッチの適用されていないサーバー上でリモート・コードを実行される可能性があります。

vCenter Server は、VMware の vSphere スイートの中央管理ハブで、管理者が仮想化インフラストラクチャを管理および監視するのに役立ちます。

この脆弱性(CVE-2024-38812)は、TZLのセキュリティ研究者が中国の2024 Matrix Cupハッキングコンテストで報告したもので、vCenterのDCE/RPCプロトコル実装におけるヒープオーバーフローの弱点が原因となっています。また、VMware vSphereやVMware Cloud Foundationなど、vCenterを含む製品にも影響を及ぼす。

未認証の攻撃者は、「特別に細工したネットワークパケットを送信することで、リモートでのコード実行につながる可能性がある」ため、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモートからこの脆弱性を悪用することができる。

この脆弱性に対応するセキュリティパッチは、vCenter Server の標準的なアップデートメカニズムから入手可能です。

「この脆弱性に対応するセキュリティパッチは、vCenter Server の標準的なアップデートメカニズムから入手可能です。

「組織のセキュリティ体制、徹底的な防御戦略、およびファイアウォールの設定によっては、他の緩和策を利用できる可能性がありますが、各組織は、これらの防御の適切性を独自に評価する必要があります。

攻撃で悪用されていない

Broadcom は、CVE-2023-34048 RCE バグが現在攻撃に悪用されている証拠は見つかっていないと述べています。

本日のセキュリティ アップデートを直ちに適用できない管理者は、ストレージやネットワーク コンポーネントを含む vSphere の管理コンポーネントおよびインターフェイスへのネットワーク境界アクセスを厳密に制御する必要があります。

同社は本日、特別に細工されたネットワークパケットを経由して、脅威者が脆弱なサーバーの root 権限を取得するために利用できる、重大性の高い権限昇格の脆弱性(CVE-2024-38813)にもパッチを適用した。

6月には、特別に細工されたパケットを介して悪用される可能性のある同様の vCenter Server のリモートコード実行の脆弱性(CVE-2024-37079)を修正しました。

ブロードコムは1月、中国のハッキンググループが少なくとも2021年後半から、vCenter Serverの重大な脆弱性(CVE-2023-34048)をゼロデイとして悪用していることを明らかにした

この脅威グループ(セキュリティ企業 Mandiant が UNC3886 として追跡)は、この脆弱性を利用して脆弱な vCenter Server に侵入し、悪意を持って細工された vSphere Installation Bundles(VIB)を介して、ESXi ホスト上にVirtualPita および VirtualPie バックドアを展開しました。