脅威に関する情報: VMwareコマンドインジェクションの脆弱性(CVE-2020-4006)

By

Category: Threat Brief, Unit 42

Tags: ,

Threat brief illustration. Standard image covering quick analyses of how to mitigate vulnerabilities such as CVE-2020-4006.

This post is also available in: English (英語)

概要

2020年12月7日、アメリカ国家安全保障局(NSA)がサイバーセキュリティアドバイザリを公開し、ロシアが国家的に支援するアクターがVMwareのコマンドインジェクション脆弱性 (CVE-2020-4006) を悪用している様子を観測したことを伝えました。この脆弱性に対し2020年12月3日にVMwareはパッチを公開済みです。本脆弱性は次のVMware製品に影響します。

  • Linux®4上の VMware Access®3 20.01 および 20.10
  • Linux 上の VMware vIDM®5 3.3.1、3.3.2 および 3.3.3
  • VMware vIDM Connector 3.3.1、3.3.2、3.3.3、19.03
  • VMware Cloud Foundation®6 4.x
  • VMware vRealize Suite Lifecycle Manager®7 8.x

本脆弱性には、ポート8443で稼働する管理者用コンフィギュレータへのネットワークアクセス(ただしこれは任意のポートに設定可能)と、コンフィギュレータ管理者アカウントの有効なパスワードが必要です。これらの条件が整った場合、悪意のある攻撃者により、基盤となるオペレーティングシステムに対して、特権で制限なくコマンドを実行されてしまう可能性があります。

回避・緩和策

可能なかぎり何よりもまずパッチを脆弱なソフトウェアに適用してください。何らかの理由でパッチを適用できない場合は以下の回避策を参照してください。

警告:

この回避策は、VMware Workspace ONE Access、VMware Identity Manager、およびVMware IdentityManager Connectorにのみ適用可能です。この回避策をこれら以外のVMware製品に適用しないでください。

CVE-2020-4006の回避策を実装するには、以下の手順を実行します。オペレーティングシステムの種別に注意してください。

1. Linuxベースのアプライアンスの回避策を実装するには:

      1. SSH経由で、インストール中に構成済みの、または後で更新した「sshuser」の資格情報を使用し、アプライアンスに接続します。
      2. 「su」と入力してrootに切り替え、インストール中に構成済みの、または後で更新した「root」の資格情報を入力します。
      3. 次のコマンドを実行します。

cd /opt/vmware/horizon//workspace
mkdir webapps.tmp
mv webapps/cfg webapps.tmp
mv conf/Catalina/localhost/cfg.xml webapps.tmp
service horizon-workspace restart

      CVE-2020-4006の影響を受けるすべてのLinuxベース アプライアンスに対してこれらの手順を繰り返します。

2. Windowsベースのサーバーの回避策を実装するには:

      1. 管理者としてログインします。
      2. コマンドプロンプトウィンドウを開き、次のコマンドを実行します。

Net stop “VMwareIDMConnector”
cd \VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace
mkdir webappstmp
move webapps\cfg webappstmp
move conf\Catalina\localhost\cfg.xml webappstmp
net start “VMwareIDMConnector”

     CVE-2020-4006の影響を受けるすべてのWindowsベースのサーバーに対してこれらの手順を繰り返します。

CVE-2020-4006の回避策を削除するには、次の手順を実行します。

1. Linuxベースのアプライアンスの回避策を元に戻すには:

      1. SSH経由で、インストール中に構成済みの、または後で更新した「sshuser」の資格情報を使用し、アプライアンスに接続します。
      2. 「su」と入力してrootに切り替え、インストール中に構成済みの、または後で更新した「root」の資格情報を入力します。
      3. 次のコマンドを実行します。

cd /opt/vmware/horizon/workspace
mv webapps.tmp/cfg webapps
mv webapps.tmp/cfg.xml conf/Catalina/localhost
rmdir webapps.tmp
service horizon-workspace restart

     CVE-2020-4006の影響を受けるすべてのLinuxベース アプライアンスに対してこれらの手順を繰り返します。

2. Windowsベースのサーバーの回避策を元に戻すには:

      1. 管理者としてログインします。
      2. コマンドプロンプトウィンドウを開き、次のコマンドを実行します。

net stop “VMwareIDMConnector”
cd \VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace
move webappstmp\cfg webapps
move webappstmp\cfg.xml conf\Catalina\localhost
rmdir webappstmp
net start “VMwareIDMConnector”

      CVE-2020-4006の影響を受けるすべてのWindowsベースのサーバーに対してこれらの手順を繰り返します。

結論

パロアルトネットワークスは、本脆弱性のエクスプロイトについての具体的な情報をお伝えできるよう、概念実証(PoC)や関連情報の特定する取り組みを続けています。本エクスプロイトに関し具体的な攻撃の詳細は確認できていないため、パロアルトネットワークスは、可能なかぎり脆弱なソフトウェアにパッチを適用するか、VMWareが提供する回避策を実装することを強くお勧めします。より詳細な情報が利用可能になりしだい、本稿は更新されます。