重大なVMware vCenter脆弱性(CVE-2021-22005)の悪用試行を検出
目次:
2021年9月24日、CISAは 警告を発表しました VMware vCenter Serverにおける重大な脆弱性(CVE-2021-22005)に対する複数の悪用試みについて警告しました。ベトナムのセキュリティ研究者JangがCVE-2021-22005の不完全なエクスプロイトを公開した後、脆弱なサーバーへのスキャンが多発しました。Jangの技術ノートは、経験豊富なハッカーが影響を受けたインスタンスでのルート権限でのリモートコード実行を可能にする作動するエクスプロイトを作成するのに十分でした。
CVE-2021-22005の説明
VMwareによると アドバイザリ、CVE-2021-22005はセッショントークンの取り扱いに関する誤設定により発生するAnalyticsサービスの重大な任意ファイルアップロード問題です。成功すると、この脆弱性はvCenter Server構成に関係なく、ネットワーク越しにvCenter Serverに到達可能な攻撃者にルート権限でのリモートコード実行(RCE)を保証します。特に、vCenter Serverのポート443にネットワークアクセスを持つハッカーは、特別に作成されたファイルをアップロードすることでvCenter Server Applianceでコードを実行することができます。
2021年9月21日に、VMwareはこの悪名高い問題を公にし、悪意のある活動の可能性を抑制するためのパッチをリリースしました。しかし、数日後にベトナムのセキュリティ研究者JangがCVE-2021-22005に対する不完全な概念実証(PoC)を公開し、VMwareによって発行された回避策を克服するヒントを提供しました。エクスプロイトは、RCEを可能にする重要な部分を意図的に省略していましたが、熟練した脅威アクターはそれを完全なエクスプロイトコードに変更し、攻撃を成功させることができます。 posted an incomplete proof-of-concept (PoC) exploit for CVE-2021-22005, providing hints to overcome workarounds issued by VMware. Although the exploit was intentionally pruned to miss the important part enabling RCE, skilled threat actors are able to modify it into fully-fledged exploit code for successful attacks.
現在、セキュリティ研究者はカナダ、米国、ルーマニア、オランダ、中国、シンガポールを含むさまざまな国からの公開されたvCenterサーバーへの複数のスキャンを観測しています。Censysによって実施された迅速な 調査 によれば、7,000以上のVMWare vCenterインスタンスがインターネットに公開されています。これらのうち3,264のホストが潜在的に脆弱と見なされ、436のみがパッチ適用されています。
ランサムウェアの脅威の拡大を考えた場合、CVE-2021-22005は、重大なインフラ組織のネットワーク上に悪意あるペイロードを容易に配置できる方法を提供するため、極めて危険です。
CVE-2021-22005の検出と緩和
この脆弱性は、vCenter Serverバージョン6.7および7.0を実行しているすべてのデバイスに影響を与え、その壊滅的な結果のため、9.8という重大な深刻度の評価を受けています。VMwareは、この脆弱性に対するパッチをリリースし、詳細な FAQブログ記事 を提供しているので、管理者はできるだけ早くインスタンスをアップグレードできます。
CVE-2021-22005の悪用の試みを検出し、組織を侵入から保護するために、セキュリティの専門家は、私たちの熟練したThreat Bounty開発者 Onur Atali によって提供された行動ベースのSigmaルールをダウンロードできます。これはすでにSOC Primeプラットフォームで利用可能です。
CVE-2021-22005 VMware vCenter Serverファイルアップロード脆弱性
このルールには、次のSIEMおよびSECURITY ANALYTICSプラットフォーム用の翻訳が含まれています:Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix。
また、このルールは、Persistence戦術とServer Software Component (t1505) 技術のWeb Shellサブ技術(t1505.003) に対応したMITRE ATT&CK手法にマッピングされています。
カスタムユースケースに対応し、脅威の発見を促進し、単一のコスト効率の良いソリューションでハンティング機能を合理化する方法をお探しですか?新しくリリースされたSOC Primeのプラットフォームを探索してください。このプラットフォームは、単一のスペースで、作業をより早く、シンプルに、より知的にするために動機付けられた脅威検出の経験を提供します。私たちのクラウドソーシングイニシアティブに参加し、コンテンツ貢献者の一人になりたいですか?業界初のThreat Bounty Programで開始してください!
