Criminal IPで分析したvSphereのリモートコード実行の脆弱性

昨年2月、コンピュータ仮想化ソフトウェアを提供するVMware社のプラットフォームvSphereで、重要なリモートコード実行（Remote Code Execution、RCE）の脆弱性が発表されました。 VMSA-2021-0002（CVE-2021-21972、CVE-2021-21973、CVE-2021-21974）。この脆弱性が原因でvSphereを使用する企業は、内部のアカウントがなくてもサーバーに侵入できる問題に直面し、現在はセキュリティパッチがリリースされてから1年が経ちました。現時点ではこの脆弱性がどれだけ解決されたか、まだどれだけのダメージが発生しうる状況であるかをCriminal IP検索で調べました。

提供：VMWare 

脆弱性の影響で発生する被害

ハッカーはこの脆弱性を利用すると（CVE-2021-21972）、vCenter Serverに無断でファイルをアップロードできるようになります。原因はvRealize Operations vCenterプラグインの認証の手続きがが不十分なためで、攻撃者はID・PWの認証なしでvCenterのアプリケーションにアクセスできる tcp/443ポートで攻撃を行えます。このように、ハッカーはこのvCenterの管理者ページからvCenter Serverのエンドポイントに特別に操作されたファイルをアップロードし、無制限のRCE権限を得ることで、最終的にvCenter Serverを管理するOSでハッカーが望む任意のコマンドを実行できます。サーバーが完全に奪取される可能性のある問題を内在しているため、この脆弱性のCVSSv3スコアは10点中9.8点になるほど危険レベルの深刻な脆弱性と評価されています。

詳しい実行方法はhttps://swarm.ptsecurity.com/unauth-rce-vmware/#more-2477こちらのブログで確認できます。

脆弱性Script: NS-Sp4ce/CVE-2021-21972, QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC, horizon3ai/CVE-2021-21972, yaunsky/CVE-2021-21972

一般に、vCenterの管理者ページは、企業内のインフラチームからのみアクセスできるようにファイアウォール設定がなっています。ただし、企業内でネットワーク分離のポリシーが整えていない場合は、インフラチーム以外にも一般の従業員でさえvCenterの管理者ページにアクセスでき、アカウントがない場合でも内部者によりvCenterサーバーに侵入し、重要なサーバーが脱臭される可能性があります。続いて考えられるシナリオは、ハッカーがセキュリティ意識が比較的低い非IT分野の従業員（人事、総務、マーケティングなど）のPCに感染させた後、彼らのPCからvCenterに浸透することです。

しかし、このケースよりも深刻なのは、企業のファイアウォール設定のエラーまたはインフラのチーム員、デベロッパの間違いでvCenterの管理者ページがインターネットに公開される場合です。ある企業のvCenterの管理者ページのtcp/443 port (https)がすでにインターネットに公開されている場合、ハッカーは従業員のPCを感染することなくインターネットから企業のvCenterに侵入することができます。そして、vCenterで管理されている複数の仮想サーバーを簡単に奪取できます。

 

vCenterの脆弱性にさらされている世界中の脆弱なサーバーの現状

Criminal IP（CIP）では、このような脆弱なサーバーの状況を検索できます。このvCenterの脆弱性が公表されてから1年になっているこの時点で、未だにその脆弱性を保有しているサーバーが世界中にどれだけ分布しているかを調べてみました。 CIPでvuln：フィルタを使用すると、CVE番号で脆弱性をチェックすることができます。CVE-2021-21972を検索してみた結果、この分析レポートを書く時点で世界中、合計3,294のIPが脆弱なvCenterを持っていることが確認できました。

この中で vCenterの脆弱性が最も多い上位国は5つで、米国、トルコ、ドイツ、中国、フランスの順に脆弱なvCenter Serverを運用しており、脆弱なIPの50％が米国で、トルコ（16％）、ドイツ（14％）を占めています。

Criminal IPの脆弱性フィルターを利用し、CVE番号で脆弱性を点検できる

脆弱なvCenter Serverを運用している国の統計

CIPの検索結果から見ると、すべての IPアドレスのtcp 80/443ポートがオープンされており、特にtcp/443（https）ポートにCVE-2021-21972の脆弱性が検出されたことが分かります。あるいは、これらのサーバーの多くでIPのインバウンドスコアがCriticalで表示されて、悪意のあるIPと判断されています。言い換えれば、CIPの悪用ヒストリ関連分析によってすでに悪意のある行為が発見されていることが考えられます。

以下のスクリーンショットで確認できるように、ASN nameに示されているSoftLayer Technologies Inc.は、IBMが買収したホスティング、クラウド企業です。低ホスティング/クラウドサーバーではvCenterを運用していることがわかり、そのvCenterを奪い取れば、今でもサーバー内に侵入でき、そうすればハッカーはその下に繋がっている数多くの仮想サーバーをさらにハッキングすることもできるかもしれないです。

Criminal IPの検索結果として表示されたIPアドレスを調べてみると、
全部tcp80/443ポートが開いている

攻撃のポイントとなる領域を管理しなければならない理由

このように、脆弱性が既知られ、セキュリティパッチがリリースされた約10ヶ月が経った今でも、世界中で3,294の脆弱なvCenter Serverを発見されるほど、まだ問題のあるサーバーが多い状況です。実際、これらの企業は中小規模の企業である可能性が高く、これらの企業が人によってセキュリティチェックを毎日行うことは不可能に近いため、放置された状態である可能性が高いと言えます。だが大手企業の場合も安全だとは言い切れないです。なぜなら、定期的にセキュリティ点検を行う大手企業も四半期に一度、ある所は年に一度進めている企業も多いので、相変らずその間、ハッカーの侵入の問題が行わられます。

最近、ITサービスやインフラは担当のデベロッパも予想できないほど変化が激しく、サーバーの生成・廃棄が繰り返し、アプリケーションの脆弱性も頻繁に発生する。そして各企業では、インフラの現況や外部サイバー空間で会社のシステムがどのように公開されているのかリアルタイムで管理できないのが現実です。したがって、このようなvCenterの脆弱性が発表されてから1年近く経っても数千件も問題が発見されるほど深刻度が相変わらずであるという事実は、企業がこのような問題に主体的に対応できず、またはセキュリティ問題が発生してもわからない場合が多いという事実の反証としても見られます。

このような問題を解決するためには、企業の外部を攻撃できるポイントを管理すべきです。外部攻撃のポイントになる重要なポートが（RDP、SSHなど）開いているかどうかをチェックしべきです。また、開かれてサービスを運用するポートの場合は、ポートが開いているかどうかではなく、脆弱性があるかどうかを綿密にチェックする必要があります。企業でこのような外部攻撃ポイントを管理する作業を攻撃対象領域管理（Attack Surface Management）と言います。

攻撃対象領域管理はとても重要なことだが、伝統的なセキュリティ点検のプロセスのように四半期や半期に一度進むことは、すでにハッカーが入ってくる十分な時間を与えることだから遅すぎます。したがって、これは人の手ではなくシステムに任せるべきです。アプリケーションが多様化し、脆弱性が登場する時期が早くなるにつれて、攻撃対象領域管理はすでに人の手でコントロールできないほど膨大な作業になってしまいました。ちなみに、CIPではRMRというソリューションを通じて企業の攻撃対象領域を毎日自動的に点検しています。変化に富んでいるITインフラの攻撃ポイントに対して防御する最も基本的な作業であります。