CISA は、VMware の Cloud Foundation の重大な重大度の脆弱性を、実際に悪用されているセキュリティ上の欠陥のカタログに追加しました。
この脆弱性 (CVE-2021-39144 として追跡) は、脆弱な VMware 製品で使用される XStream オープンソース ライブラリで発見され、VMware によってほぼ最大の重大度スコア 9.8/10 が割り当てられています。
認証されていない攻撃者は、パッチが適用されていないアプライアンスでルート権限を使用して任意のコードをリモートで実行するために、ユーザーの操作を必要としない複雑さの低い攻撃でバグを悪用できます。
「VMware Cloud Foundation (NSX-V) での入力のシリアル化に XStream を利用する認証されていないエンドポイントが原因で、悪意のあるアクターがアプライアンスの「ルート」のコンテキストでリモート コードを実行する可能性があります」と VMware は説明しています。
VMware は、10 月 25 日に MDSec の Sina Kheirkhah と Source Incite の Steven Seeley によって報告された CVE-2021-39144 の欠陥に対処するためのセキュリティ アップデートをリリースしました。この問題の重大性のため、VMware は一部の生産終了製品のパッチも発行しました。
CVE-2021-39144 パッチがリリースされた日、Kheirkhah は技術的な詳細と概念実証 (PoC) のエクスプロイト コードを記載したブログ投稿も公開しました。
12月初旬から積極的に悪用
CISA が CVE-2021-39144 の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに含めるという決定は、このバグが実際に悪用されているという VMware の確認を受けてのものです。
「VMware が CVE-2021-39144 に関連する実際の悪用活動のレポートを受け取ったという情報でアドバイザリを更新した」と同社は、元のアドバイザリに対する木曜日の更新で述べた。
これは、サイバーセキュリティ会社の Wallarm が月曜日に、CVE-2021-39144 のエクスプロイトがセキュリティ更新プログラムがリリースされてからわずか数週間後に始まり、少なくとも 2022 年 12 月初旬から続いていることを明らかにした後のことです。
「Walarm Detect チームは、毎日数十の脆弱性を探して分析しています。この脆弱性は、過去 2 か月間に 40,000 回以上悪用されたため、特に興味深いものです。積極的な悪用は 2022 年 12 月 8 日に始まり、現在も続いています」と Wallarm は述べています。
「これらの脆弱性の悪用に成功すると、攻撃者が任意のコードを実行したり、データを盗んだり、ネットワーク インフラストラクチャを制御したりできるようになり、壊滅的な影響を受ける可能性があります。」
この脆弱性が KEV カタログに追加されたため、CISA は米国連邦政府機関に対し、3 月 31 日までの 3 週間以内にシステムを攻撃から保護し、ネットワークを標的とする可能性のある攻撃を阻止するよう命じました。
CISA の命令の背後にある 2021 年 11 月の拘束力のある運用指令 (BOD 22-01) は、米国連邦政府機関にのみ適用されますが、サイバーセキュリティ機関は、進行中の攻撃からサーバーを保護するために、このバグにパッチを適用するようすべての組織に強く求めています。
「これらのタイプの脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と CISA は述べています。
Comments