Criminal IPで分析したvSphereのリモートコード実行の脆弱性

昨年2月、コンピュータ仮想化ソフトウェアを提供するVMware社のプラットフォームvSphereで、重要なリモートコード実行(Remote Code Execution、RCE)の脆弱性が発表されました。 VMSA-2021-0002(CVE-2021-21972、CVE-2021-21973、CVE-2021-21974)。この脆弱性が原因でvSphereを使用する企業は、内部のアカウントがなくてもサーバーに侵入できる問題に直面し、現在はセキュリティパッチがリリースされてから1年が経ちました。現時点ではこの脆弱性がどれだけ解決されたか、まだどれだけのダメージが発生しうる状況であるかをCriminal IP検索で調べました。   脆弱性の影響で発生する被害 ハッカーはこの脆弱性を利用すると(CVE-2021-21972)、vCenter Serverに無断でファイルをアップロードできるようになります。原因はvRealize Operations vCenterプラグインの認証の手続きがが不十分なためで、攻撃者はID・PWの認証なしでvCenterのアプリケーションにアクセスできる tcp/443ポートで攻撃を行えます。このように、ハッカーはこのvCenterの管理者ページからvCenter Serverのエンドポイントに特別に操作されたファイルをアップロードし、無制限のRCE権限を得ることで、最終的にvCenter Serverを管理するOSでハッカーが望む任意のコマンドを実行できます。サーバーが完全に奪取される可能性のある問題を内在しているため、この脆弱性のCVSSv3スコアは10点中9.8点になるほど危険レベルの深刻な脆弱性と評価されています。 詳しい実行方法はhttps://swarm.ptsecurity.com/unauth-rce-vmware/#more-2477こちらのブログで確認できます。 脆弱性Script: NS-Sp4ce/CVE-2021-21972, QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC, horizon3ai/CVE-2021-21972, yaunsky/CVE-2021-21972   一般に、vCenterの管理者ページは、企業内のインフラチームからのみアクセスできるようにファイアウォール設定がなっています。ただし、企業内でネットワーク分離のポリシーが整えていない場合は、インフラチーム以外にも一般の従業員でさえvCenterの管理者ページにアクセスでき、アカウントがない場合でも内部者によりvCenterサーバーに侵入し、重要なサーバーが脱臭される可能性があります。続いて考えられるシナリオは、ハッカーがセキュリティ意識が比較的低い非IT分野の従業員(人事、総務、マーケティングなど)のPCに感染させた後、彼らのPCからvCenterに浸透することです。 しかし、このケースよりも深刻なのは、企業のファイアウォール設定のエラーまたはインフラのチーム員、デベロッパの間違いでvCenterの管理者ページがインターネットに公開される場合です。ある企業のvCenterの管理者ページのtcp/443 port