2019/11/19

VMware の脆弱性:CVE-2019-5540

Server サーバー ラック 大規模 システム

2019 年 11 月 19 日 Emil Hozan 著

VMware が 11 月 12 日に、vmnetdhcp に見つかった脆弱性である CVE-2019-5540 のパッチを公開しました。最初に読んだ段階では、名前に「dhcp」が含まれていることもあって、特に気に留めませんでしたが、VMware の Web サイトでこの脆弱性の概要を読んだことで考えが変わり、この脆弱性について少し説明する必要があると感じました。

VMware の Web サイトの「既知の攻撃ベクトル」セクションには、

「この脆弱性のエクスプロイトが成功すると、攻撃者がゲスト VM(仮想マシン)でホストプロセスからメモリをリークすることで機密情報を漏洩させることができる可能性がある」

と説明されています。

この脅威について知識がないと、このことの意味がよくわからず、この脆弱性の範囲がどの位のものであるのかもわからないかもしれませんが、いずれにしても、ゲスト VM をそれをホスティングしているマシンから隔離する必要はあるでしょう。たとえば、VMware 製品(リンクによると Workstaion または Fusion)を使用して、ホストシステムといくつかの VM がセットアップされているとします。VM はさまざまな用途に利用できますが、私の場合、自分のホストシステムで直接行うことは避けたい調査やマルウェア分析にあたっては、隔離された環境を用意します。これは、未知の脅威の挙動や分析の調査でも一般的な方法です。ここで、いずれかの VM でこの脆弱性が悪用された状況を想像してみてください。その VM はおそらく、そのプロセスに割り当てられた物理ホストのメモリの一部を取得しているはずです。

この脆弱性によって、このリークしたメモリのどの程度の範囲が外部に公開されることになるのかについては、明らかではありません。ハイパーバイザ(仮想化ソフトウェア)は、VM をプロセスとして実行し、個々の VM は、所定の大きさのメモリを使用する独立したプロセスで動作します。したがって、VM は自らのメモリを自らに対してリークできるという意味であり、それほど深刻ではないように思えます。だからこそ、この脆弱性が「Important(重要)」の深刻度に分類されたのでしょう。しかしながら、「攻撃者は、1 インチの隙があれば 1 マイル先まで進む」という言葉が、この脆弱性にも当てはまります。脅威環境が常に変化する状況では、このような脆弱性を放置すべきではありません。