VMware、深刻度スコアがほぼ満点の重大なバグ：すべてのvCenter Serverが対象

VMware社は、Virtual SAN Health CheckプラグインにおけるすべてのvCenter Server導入環境に影響を与える重要なリモートコード実行（RCE）の脆弱性にパッチを適用するようユーザに推奨することを発表しました。

VMware社は「アップデートは重要なセキュリティ脆弱性を修正するものであり、直ちにパッチのインストールを検討してください。本脆弱性は、vSANを使用しているかどうかに関わらず、ネットワーク経由でvCenter Serverに通信を送信できるのであれば誰でもアクセスすることができます。」としています。

VMSA-2021-0010: What You Need to Know

VMware has released patches that address a new critical security advisory, VMSA-2021-0010 (CVE-2021-21985). Here's what you need to know.

vCenter Serverは、IT管理者が企業環境内の仮想マシンや仮想化ホストを単一のコンソールで管理できるサーバー管理ソリューションとなっていあます。

ランサムウェアが蔓延している現在、攻撃者はすでにネットワークのどこかにいて、ユーザーアカウントをコントロールしていると考えるのが最も合理的です。そのため緊急的な変更作業を社内に告知しできるだけ早くパッチを適用することを強くお勧めします

深刻度スコアがほぼ満点の重大なRCEバグ
回避策
1. Linux ベースの仮想アプライアンス（vCSA）での vCenter Server プラグインの無効化方法

深刻度スコアがほぼ満点の重大なRCEバグ

VMwareのセキュリティアドバイザリによると、CVSSv3ベーススコアが10点満点中9.8点と評価された脆弱性はCVE-2021-21985としてトラックされており、vCenter Server 6.5、6.7、および7.0に影響を与えることがわかっています。

VMSA-2021-0010

VMware vCenter Server updates address remote code execution and authentication vulnerabilities (CVE-2021-21985, CVE-2021-21986)

本脆弱性は360 Noah LabのRicter Z氏によって報告されたもので、認証されていない攻撃者があまり操作する必要がないというとても簡単な攻撃でリモートからシステムに悪意のコードを実行させることができます。

「vSphere Client (HTML5)のvCenter Serverでデフォルトで有効になっているVirtual SAN Health Checkプラグインにおいて入力検証が行われていないため、リモートでコードが実行される脆弱性があります。ポート443にネットワークアクセスできる攻撃者は、この脆弱性を悪用しvCenter ServerをホストするOS上で無制限の特権でコマンドを実行する可能性があります。Virtual SAN Health Checkプラグインは、vSANを使用しているかどうかにかかわらず、すべてのvCenter Serverの展開においてデフォルトで有効になっています。」とVMwareは報告しています。

同社はCVE-2021-21986としてトラックされ、Virtual SAN Health Check、Site Recovery、vSphere Lifecycle Manager、VMware Cloud Director Availabilityプラグインに影響を与える中程度の深刻度の認証メカニズムの脆弱性に対するパッチもリリースしています。

回避策

VMware は影響を受けるプラグインを「互換性なし」に設定することで、攻撃経路と悪用の可能性を排除することができるという回避策を提示しています。

UIからプラグインを無効にしても悪用を防ぐことはできません。vCenter High Availability（VCHA）を実行している環境では、アクティブノードとパッシブノードの両方で以下のアクションを実行する必要があります。

Linuxベースの仮想アプライアンス（vCSA）およびWindowsベースのvCenter Server導入環境で、vCenter Serverプラグインを互換性のないものとして構成して無効化するために必要な手順は以下の通りです。

VMware Knowledge Base

Linux ベースの仮想アプライアンス（vCSA）での vCenter Server プラグインの無効化方法

root権限でvCSAに接続

/etc/vmware/vsphere-ui/compatibility-matrix.xml ファイルをバックアップ

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

テキストエディタでcompatibility-matrix.xmlを開く

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

注：未編集のファイルの内容は、以下のようになります。

脆弱性が公開されているすべてのプラグインを無効にするには、以下の行を上記の–> と <!-の間に追加します。

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>
<PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/>
<PluginPackage id="com.vmware.vrUi" status="incompatible"/>
<PluginPackage id="com.vmware.vum.client" status="incompatible"/>
<PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>

注：編集後は以下のようになります。

compatibility-matrix.xmlファイルを保存して閉じます。

:wq!

vsphere-uiサービスを停止および再起動します。

service-control --stop vsphere-ui
service-control --start vsphere-ui

vSphere Client（HTML5）のAdministration > Solutions > client-pluginsでVMware Virtual SAN Health Check Pluginがincompatibleであることが確認できます

またvSphereのベースラインセキュリティのベストプラクティスを「vSphere Security Configuration Guide」としてユーザに提供しています。

Cloud Infrastructure Security Configuration Guides | VMware

Security Configuration Guides (SCG) are the baseline for security hardening of VMware vSphere, and the core of VMware cloud infrastructure security best practic...

本脆弱性に関する追加の質問と回答を含むFAQはこちらで確認可能です。

VMSA-2021-0010: Questions & Answers | VMware

VMSA-2021-0010 is a critical security vulnerability in VMware vSphere. Here's what you need to know to protect yourself.

2021年2月VMwareは、vRealize Operations（vROps）のための脆弱なvCenter ServerプラグインがデフォルトでインストールされているすべてのvCenter Serverに影響を与える重大なRCEバグに対処したばかりでした。