vCenter Serverの脆弱性まとめとSHODANでの観測状況

■概要

2021年223日にVMware社のvCenter Serverに対する危険度の高い脆弱性であるCVE-2021-21972が公表されました。その影響範囲をShodanにて調査したところ、筆者の当初の予想に反して同脆弱性の影響を受けると考えられるサーバが世界的に多数確認されました。

本記事では取り急ぎ、その観測状況について記したいと思います。

なお、脆弱性情報の公開から約20時間後の224日時点で攻撃を行うための条件やスキャンツール等が早くも公開されてしまった状況です。今後、間違いなく本脆弱性は悪用されます。パッチの適用やサーバへのアクセス制限、侵害状況の確認を早急に実施してください。

CVE-2021-21972について

vSphere Client(HTML5版)のプラグインを通じてリモートの攻撃者が事前認証なしでvCenter Serverの任意のコマンドが実行可能となる脆弱性です。

いくつかの公開情報からの判断となりますがvCenter ServervSphere Clientからの接続を待ち受ける443/TCP(デフォルト設定の場合)を介し、OVAファイルのアップロード機能に関する検証不備により、任意のパスにファイルアップロードが可能となるため、WebShellなどを通じて任意のコードがシステム権限で実行可能となるようです。

対象のバージョン情報などはVMware社より公表されているアドバイザリを参照してください。

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

パッチ適用が難しい場合のワークアラウンドの実行手順についてもVMware社より情報が公開されております。

https://kb.vmware.com/s/article/82374

管理対象のサーバが万が一、外部の不特定多数に公開された状態となっていた場合は、パッチ適用やワークアラウンドを実行した後に、アクセスログや身に覚えのないファイルなどがサーバ上に配置されていないかもご確認ください。昨年、被害が多発したVPNサーバなどの脆弱性でも見られたように、パッチ適用前に設置されたバックドアを通じて、パッチ適用後も侵害され続けるという事例を忘れてはいけません※。

※:https://blog.fox-it.com/2020/07/01/a-second-look-at-cve-2019-19781-citrix-netscaler-adc/

Shodanでの観測状況について

今回はHTML5版のvSphere Client443/TCPでアクセス元を制限せずに待ち受けているサーバを対象としてShodanにて検索を試みました。詳細は割愛させていただきますが脆弱性の影響を受ける待受ページのhtmlのハッシュ値(MurmurHash3)を約13種ほど特定し、それらを対象に検索を行いました。

通常であれば脆弱性の攻撃対象面となる待受ページが公開されているからといって脆弱性に該当するという判断を行うのは早計ではありますが、今回は脆弱性情報が公開され約20時間後にShodanでの検索を行いましたので、条件にヒットしたサーバはいずれもパッチ未適用であり脆弱性に該当すると判断しカウントを行っています。今後、時間が経過しパッチ適用が進んだ状況であれば今回の手法では脆弱性の影響を受けるサーバを正確に見つけることはできなくなります。

なお、Shodanのproduct検索子(product:VMware)やssl検索子(ssl:VMware)でVMware製品を抽出する方法はvCenter Server以外のVMware社製品が多数ヒットするため採用していません。また、http.titleの検索子にて製品のWelcomeページを抽出する方法(http.title:"ID_VC_Welcome")についてはHTML5版のvSphere Clientに非対応の非常に古いバージョンのサーバもヒット※してしまうため、今回はhttp.html_hashを利用する手法にて検索を行いました。

※:http.title:"ID_VC_Welcome"でヒットする約6700台中の約20%程は今回の脆弱性の攻撃対象面が存在しない古いバージョンのサーバでした。

Shodanでの確認結果としてグローバルでは約5270ホスト、日本国内では47ホストが確認できました(2021/02/24時点)。国別のデータTOP50を掲載しておきたいと思います。

vspheretable2.png

以下はマップにプロットしたデータです。TOP50に限定せず確認できた117カ国分のデータとなっています。

※:なお、今回はShodanにて検索を行っているため、不特定多数に公開された状態のサーバのみが対象となっています。通常の場合であればvCenter Serverはインターネット側には公開されず利用されるため、脆弱性の影響を受けるサーバの実際の数は上記より多くなると考えられます。

■まとめ

2019年前後のVPNサーバ等で始まった非常に深刻な脆弱性の発見と、攻撃者による悪用の波は収まる様子がありません。Shodanでの脆弱性観測ネタは前回で最後にするはずでしたが、やむを得ず?今回も書いてしまいました。

本脆弱性について間もなく悪用が行われ、被害が生じる恐れが極めて高い状況にありますので、管理者の方は早急に対処を実施されることを推奨いたします。

前へ

Dtrackを使った組織侵入型ランサムインシデントの分析

次へ

ProxyLogonのまとめとExchange Serverの利用状況について