Trusted Design

解説:

CVE-2023-20867について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2023-20867は、VMware Toolsのvgauthモジュールにおける認証バイパスの脆弱性です。これにより、完全に侵害されたESXiホストが、ホストからゲストへの操作の認証をVMware Toolsに失敗させることが可能になります。この脆弱性は、不適切な認証の実装（CWE-287）に起因します。

1.1 影響

この脆弱性が悪用されると、ゲスト仮想マシンの機密性と整合性に影響を与えます。攻撃者は、既にESXiホストへのrootアクセス権を取得している場合、ゲストVMの認証を必要とせずに特権ゲスト操作を実行したり、ゲストVMとの間でファイルを転送したり、任意のコードを実行したりすることが可能になります。さらに、このエクスプロイトは、ESXiホストまたはゲストVMで実行される従来のログ記録アクションをバイパスします。

1.2 深刻度

VMwareは、この脆弱性の深刻度をCVSSv3ベーススコア3.9の「低（Low）」と評価しています。 深刻度が低いと評価されているのは、この脆弱性の悪用には攻撃者がESXiホストに対するroot権限を既に持っている必要があるためです。 しかし、この脆弱性はCISAの既知の悪用されている脆弱性（Known Exploited Vulnerabilities）カタログに2023年6月23日に追加されており、実際に攻撃で悪用されたことが確認されています。 Mandiantは、中国政府の支援を受けているとされるサイバー攻撃グループUNC3886が、このゼロデイ脆弱性を悪用していることを報告しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のVMware Toolsおよびopen-vm-toolsのバージョンが影響を受けます。

• VMware Tools 10.3.0から12.2.5までのバージョン。
  • 特に、VMware Tools 12.x系では12.2.5およびそれ以前のバージョンが影響を受けます。
  • VMware Tools 11.x系ではすべてのバージョンが影響を受けます。
  • VMware Tools 10.3.x系では10.3.25およびそれ以前のバージョンが影響を受けます。
• DebianおよびFedoraなどの様々なOS上で稼働するopen-vm-tools。
• Red Hat Enterprise Linux、Ubuntu、SUSE LinuxなどのLinuxディストリビューションに含まれるopen-vm-toolsも影響を受ける可能性があります。

2.2 影響を受ける設定

• この脆弱性はVMware Toolsのvgauthモジュール内に存在します。
• 脆弱性を悪用するには、攻撃者がESXiホストに対して特権アカウント（rootやvpxuserなど）のアクセス権を持っている必要があります。
• ターゲットとなるゲストマシンにVMware Toolsソフトウェアがインストールされている必要があります。

3. 影響を受けた時の兆候

このエクスプロイトは認証チェックメカニズムをターゲットにし、ゲストVMでの認証を必要とせずに特権ゲスト操作を実行できるため、ESXiホストまたはゲストVMで実行される従来のログ記録アクションをバイパスします。

• WindowsゲストVM上でGuest Operationsが成功しても、ゲストVM内でWindowsイベントID 4624や4634（ログオン/ログオフイベント）は生成されません。
• Linuxでは、このエクスプロイトを使用したGuest Operationsが成功しても、Linuxのアクセスログにアクションは記録されません。

これにより、攻撃者は通常のログ記録イベントを生成せずにゲストVM上で活動できるため、侵害の検出が困難になります。

4. 推奨対策

4.1 本対策

• VMware Toolsのアップグレード:
  • VMware Tools 12.xをご利用の場合は、バージョン12.2.5以降に更新してください（Windows VMでバージョン12.2.0から12.2.5へのアップグレード時に既知の問題があるため、12.2.6へのアップグレードを推奨します）。
  • VMware Tools 10.3.xをご利用の場合は、バージョン10.3.26以降に更新してください。
• open-vm-toolsのアップグレード:
  • open-vm-toolsをご利用の場合は、バージョン12.2.5以降に更新してください。
  • Debianユーザーはバージョン2:10.3.10-1+deb10u4にアップグレードしてください。
  • Fedoraユーザーはsu -c 'dnf upgrade --advisory FEDORA-2023-20b6ac4b6c'コマンドを使用して更新をインストールしてください。
  • RHEL/CentOSユーザーはsudo yum update open-vm-toolsを実行してください。

4.2 暫定回避策（緩和策）

VMwareは、CVE-2023-20867に対して公式な暫定回避策は提供しておらず、アップデートの適用が必須としています。 ただし、ESXiホストのセキュリティを強化するための一般的な対策として、以下が推奨されます。

• ESXiホストのセキュリティ強化: 管理アクセス権限を厳しく制限してください。
• ネットワークセグメンテーション: ESXi管理ネットワークを分離し、隔離してください。
• 最小権限の原則: vSphere環境の管理において最小権限の原則を適用してください。
• EDRの導入: 仮想マシン内にエンドポイント検出・応答（EDR）ソリューションを展開してください。
• ログ監査: 異常なホストからゲストへの操作を監視してください。
• VMware Toolsのセキュリティ設定: 可能な限り、仮想マシンを堅牢化するためにセキュリティリスクとなりうるVMware Toolsの機能を無効にすることを検討してください。例えば、仮想デバイスの接続/切断機能や設定変更機能を無効にできます。

参照したサイト

• CVE-2023-20867: VMware Tools Auth Bypass Vulnerability - SentinelOne
• CVE-2023-20867 Report - Details, Severity, & Advisories | Twingate
• VMware ESXi ゼロデイを使用。侵害したハイパーバイザー上で特権ゲスト操作を実行 - Mandiant
• VMSA-2023-0013:VMware Tools update addresses Authentication Bypass vulnerability - VMware Security Advisories
• CVE-2023-20867 Detail - NVD
• CVE-2023-20867 - Red Hat Customer Portal
• CVE-2023-20867 - CVE Record
• 2023Q2 脆弱性トピック - SIOS SECURITY BLOG
• CVE-2023-20867 - Amazon Linux Security Center
• CVE-2023-20867: SUSE Linux Security Advisory - Rapid7 Vulnerability Database
• VMware ESXi/vCenterを狙うサイバー攻撃とは？ | トレンドマイクロ (JP) - Trend Micro
• CVE-2023-20867 Detail - NVD
• ESXiを攻撃する犯罪者集団が悪用した脆弱性「CVE-2023-20867」とは？ - TechTargetジャパン
• ESXi攻撃に使われた脆弱性「CVE-2023-20867」の危険度は？ ESXiArgsとの関係は - TechTargetジャパン
• CVE-2023-20867 - Ubuntu
• ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった - TechTargetジャパン
• 盘点：2023年十大零日漏洞攻击 - 安全内参
• VMware Tools存在安全漏洞(CVE-2023-20867)，允許已具VMware ESXi完整權限之攻擊者，於虛擬機器進行檔案傳輸或執行任意程式碼 - 國家資通安全研究院
• openEuler CVE 漏洞详情| 安全信息 - openEuler社区官网
• VMware ESXi vmware-tools 存在远程命令执行漏洞 - CT Stack 安全社区
• CVE-2023-20867 | Tenable®
• 低危VMware Tools 身份认证绕过漏洞(CVE-2023-20867) - 阿里云漏洞库
• VMware製品の脆弱性に注意！最新CVEとセキュアな運用のポイントを解説 - アールワークス
• VMware Tools を構成する際のセキュリティの考慮事項 - TechDocs
• 已有兩年！中國駭客低調武器化VMware 零日漏洞 - 資安人科技網