CVE-2021-22005の脆弱性を持つVMware vCenter Server上でリモートコード実行に利用できるエクスプロイトコードが公開され、攻撃者がすでに利用していることが判明しました。
この脆弱性はVMware社もこのバグに対処しており、このバグの深刻度は9.8。入手可能なパッチをインストールすることを強く推奨しています。
この脆弱性は、vCenter Serverのバージョン6.7および7.0を実行しているマシンに影響し、この問題の深刻さを考慮してVMwareは管理者に対して、敵がすでにネットワーク上にいて、利用しようとしていると仮定して直ちに行動することを求めています。
脅威情報会社のBad Packets社は、インターネット上に公開されているvCenterサーバは現在、様々な国から複数のポートを経由して標的にされているとのことです。VMware社は、任意のファイルをアップロードする脆弱性であるCVE-2021-22005に関するセキュリティアドバイザリの更新でこの事実を確認しました。
VMwareは、CVE-2021-22005が実世界で悪用されているという報告を確認しました
CVE-2021-22005を修正するには、「対応表」の「修正バージョン」欄に記載されているアップデートを適用してください。
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
Bad Packets社が記録したデータによると、カナダ、米国、ルーマニア、オランダ、中国、シンガポールからVMwareハニーポットへの攻撃が開始されています。
これらの攻撃の兆候は、VMware社がセキュリティ問題を公表し、パッチをリリースした直後に見られたとのことです。
CVE-2021-22005について、回避策とVMwareからのパッチに基づいたテクニカルノートを公開しました。その詳細は、経験豊富な開発者が、root権限でのリモートコード実行を可能にする作業用エクスプロイトを作成するのに十分なものだと、研究者は語っています。
米国のCISA(Cybersecurity and Infrastructure Seurity Agency)は、脆弱なvCenterを導入している重要インフラ組織に対して、VMware社が提供する更新プログラムまたは回避策を適用するよう求めています。
Censys社は、すでに公開されている技術的な詳細をもとにリモートコード実行のためのエクスプロイトを作成することは難しいことではないと説明しており、
このブログ記事にあるcURLベースのエクスプロイトは、直接コードを実行するものではありませんが、経験豊富な読者であれば、Linuxオペレーティングシステムの知識があれば、この記事の情報を使ってこの目的を達成することができます。
Censysは、オポチュニスティックなスキャンがすでに行われていること、VMwareのワークアラウンドが特定の脆弱なエンドポイントについて言及していることを考慮して、この詳細を公開することにしました。
また、研究者は、攻撃者がどのようにしてこの脆弱性を悪用するかを示す動画も公開しています。
Comments