VMware vCenterにおける重大な認証なしリモートコード実行の脆弱性 (CVE-2021-21972)

2021年2月23日、VMwareは、デフォルトのvCenter Serverプラグインにおける重大な不正なリモートコード実行（RCE）バグ（CVE-2021-21972）に対処しました。発表と アドバイザリ がリリースされた直後、脅威アクターは公開されたインスタンスの大規模スキャンを開始しました。これまでのところ、研究者たちは攻撃にさらされた6700のVMware vCenterサーバーを検知しています。攻撃の試みを容易にするために、すでにGitHub上で公開されている概念実証（PoC）エクスプロイトがあるため、専門家は間もなく侵入の雪崩が来ると予想しています。

CVE-2021-21972の説明

このエラーはHTML5 vSphereクライアントに存在します。この誤設定により、アクセス権を持った不正なハッカーは特定のリクエストを作成し、脆弱なサーバー上で任意のコマンドを実行できるようになります。その結果、敵対者は簡単に侵害された環境を移動し、機密性の高い企業情報を盗むことができます。実際、セキュリティアナリストは、この脆弱性がランサムウェアグループや貴重なデータを探している他のハッカーによって大いに悪用される可能性があると予測しています。

この欠陥は Positive Technologiesの研究者Mikhail Klyuchnikovによって明らかにされ、2020年秋にベンダーに報告されました。管理者がパッチを適用するための時間を確保するために、一般公開は今年後半に予定されていました。しかし、PoCエクスプロイトが by Positive Technologies researcher Mikhail Klyuchnikov and reported to the vendor in autumn 2020. The public disclosure was planned later this year to give admins time to patch. However, a PoC exploit 2021年2月24日にGitHubに掲載され たため、組織はシステムを迅速に保護するよう促されています。特に、このPoCは非常に簡単なワンライナーであり、実際的な脆弱性悪用の可能性を大幅に高めています。

CVE-2021-21972の検出と軽減策

この欠陥にはCVSSv3基本スコア9.8（最大10）の評価が与えられており、セキュリティホールが非常に重要です。現在、管理者は VMwareのアドバイザリ を検査し、できるだけ早くパッチを適用するよう促されています。パッチがすぐに展開できない場合、ユーザーは VMwareが推奨する一時的な軽減策 を適用すべきです。

SOC Primeのシニア脅威ハンティングエンジニアであるAdam Swanは、VMware vCenter RCE（CVE-2021-21972）のエクスプロイト試行検出を目的としたコミュニティSigmaルールをリリースしました:

https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context 

このルールには以下のプラットフォームへの翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK:

戦術: 初期アクセス、特権昇格

技術: 公開アプリケーションのエクスプロイト（T1190）、特権昇格のためのエクスプロイト（1068）

専用のSigmaルールの詳細を知り、CVE-2021-21972の検出をどのように強化できるかを学ぶために、 我々のウェビナーの録画を視聴してください 「Soc Primeとのセキュリティトーク: Sigmaについてのすべて」です。

このセッションでは、Adam SwanがSigmaルールの作成について話し、問題の脆弱性に関する質問に答えます。また、このウェビナーはSigmaに関連する多くの興味深いトピックをカバーしており、なぜそれが存在するのか、検出管理に携わる誰もがどのようにそれを利用できるかを解説します。

Threat Detection Marketplace、業界初のDetection as Codeプラットフォームに登録し、95,000以上のSOCコンテンツライブラリを使用してサイバー攻撃の検出にかかる時間を短縮しましょう。コミュニティの脅威ハンティング活動に貢献したいと思いませんか？ 私たちのThreat Bounty Programに参加し 、あなたの貢献に対して報酬を得てください！