【注意喚起】VMware vCenter Serverの脆弱性（CVE-2021-21972）、早急な対策を

JSOCアナリストの高井、西部です。
VMware社は2月23日（米国時間）、「VMSA-2021-0002」の中で VMware vCenter Server、VMware Cloud Foundationに存在する新たな脆弱性（CVE-2021-21972）を公開しました。また2月24日頃には、インターネット上において本脆弱性の概念実証コード（PoC）が公開されています。

この脆弱性が悪用された場合には、該当する製品が動作しているサーバにおいて、バックドアなどの不審なファイルをアップロードされたのち、任意のコード実行やデータの改ざんなどの被害が発生する恐れがあります。非常に危険な脆弱性のため、早急な対応が必要です。

まずは影響を受ける可能性のあるソフトウェアの利用有無をご確認いただき、利用している場合は公式より提供されているセキュリティパッチの適用や暫定対策を実施することに加え、状況によりサーバの侵害調査をお勧めします。

• スレットインテリジェンス基盤による観測状況
• 影響を受ける可能性があるソフトウェアバージョン
• 対策方法
• 暫定回避策
• 攻撃や被害を受けているかどうかの確認方法
• 参考URL

スレットインテリジェンス基盤による観測状況

2月25日より、この脆弱性の有無を調査（偵察）する通信を、JSOCのスレットインテリジェンス基盤にて観測しています。2月26日現在においては大規模なスキャン活動は観測していないものの今後活発化する可能性があります。このような活動により、当該製品へインターネットからアクセス可能である場合には、製品あるいは脆弱性の有無を外部から収集される恐れがあります。

影響を受ける可能性があるソフトウェアバージョン

• VMware vCenter Server 7.0 U1c より前のバージョンの 7.0
• VMware vCenter Server 6.7 U3l より前のバージョンの 6.7
• VMware vCenter Server 6.5 U3n より前のバージョンの 6.5
• VMware Cloud Foundation 4.2 より前のバージョンの 4.x
• VMware Cloud Foundation 3.10.1.2 より前のバージョンの 3.x

対策方法

お客様のネットワーク内にて、脆弱なバージョンのソフトウェアの利用状況や、外部からのアクセス可否について調査することをお勧めいたします。

また、脆弱なバージョンをご利用の場合は、業務影響を考慮のうえ、最新のバージョンへのアップデートの実施や対象サーバへのアクセス制御、暫定回避策の実施を推奨いたします。

暫定回避策

VMware社より暫定回避策が公開されております。
最新バージョンへのアップデートを速やかに実施できない場合、以下URLをご参照のうえ、業務影響を考慮いただき、暫定回避策を取ることを推奨いたします。

VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)

攻撃や被害を受けているかどうかの確認方法

以下の条件で、該当するサーバのログを検索してください。

POSTリクエストかつ、"/ui/vropspluginui/rest/services/uploadova"を含む文字列

該当するログがある場合には、攻撃を受けている可能性があるため、そのリクエストの正当性（送信元が外部IPアドレスであるか、組織内部であってもアクセスを意図したホストであるかなど）を確認してください。

意図したリクエストではない場合は、該当するサーバ上に不審なファイルが作成されていないかなどの詳細調査を実施することをお勧めします。特に、ドキュメントルートの以下のフォルダへ不審なファイルをアップロードするコードを確認しております。

• Windowsの場合： "/statsreport/"
• Linuxの場合： "/ui/resources/"

参考URL

• VMSA-2021-0002
• CVE - CVE-2021-21972
• VMware vCenter Serverの脆弱性（CVE-2021-21972）に関する注意喚起