Talos は本日、VMware 製品で使用される VNC 実装に 2 つの脆弱性があることを公表します。これらの脆弱性により、コードが実行される可能性があります。VMware は、共通の VMW VNC コード ベースを共有する VMware 製品(ワークステーション、プレーヤー、ESXi など)のリモート管理、リモート アクセス、および自動化のために VNC を実装します。これらの脆弱性は、攻撃者が VNC セッションを開始することでトリガーされます。Talos は VMware と連携することで、責任を持ってこの問題を公表し、ベンダーによるパッチ適用が行われるよう調整しています。また、今回の脆弱性を悪用しようとする試みを検出できる Snort シグニチャも Talos から提供されています。
これらの脆弱性は、最近リリースされた Decept Proxy およびMutiny Fuzzers を使用して特定されました。これらのツールを活用してすぐにファジングが実行されました。すなわち、VNC トラフィックが生成され、それを Decept Proxy によってフィードし、結果としての .fuzzer ファイルを最終的に Mutiny でファジングしました。これらのすべては、VMware の特定のプロトコル拡張についての情報がなくても実行可能です。Decept Proxy および Mutiny Fuzzers についての詳細は、当社の最新のブログを参照してください。
脆弱性の詳細
Cisco Talos の Lilith Wyatt <(^_^)> によって発見されました。
TALOS-2017-0368
TALOS-2017-0368/CVE-2017-4933 は、VMware のリモート管理機能に存在するコード実行の脆弱性です。VMware は、すべての VNC サーバに要求される標準の VNC メッセージとともに、カスタムおよび独自の VNC 拡張を使用します。これは、新たな VNC 機能を実装し、標準機能を修正するものです。この脆弱性は、これらの新機能のうちの 1 つである VMWDynResolution、特に VMWDynResolution 要求に存在しています。この VMWDynResolution 要求は、VNC サーバがユーザ提供データを読み取ることが可能になるいくつかのリクエストのうちの 1 つです。この脆弱性は、VNC サーバがこのデータを処理することに起因し、ヒープ コラプションが引き起こされ、コード実行へとつながる可能性があります。
技術的な詳細については、こちらのアドバイザリをご覧ください。
TALOS-2017-0369
TALOS-2017-0369/CVE-2017-4941 は、VMware のリモート管理機能に存在するコード実行の脆弱性です。RFB プロトコルで指定されているように、すべての VNC サーバは VNC メッセージの標準セットをサポートする必要があります。脆弱性が存在するのは、このメッセージ セット内です。関連するメッセージは、VncPointerEvent、VncSetPixelFormat、および VncFrameBufferUpdateRequest です。このバグは、メモリ内でフレーム バッファ(スクリーンショットなど)を作成するよう VNC サーバに要求することに関係しており、そのバッファの画像形式が非 Truecolor(パレットベースなど)に変更され、そのバッファに対してカーソルが再レンダリングされます。フレームバッファとカーソルの画像形式タイプの混乱により、一連のイベントがトリガーされ、カーソル PNG infoStuct に High Value が書き込まれ、結果としてスタックへの読み取りと書き込みのループが発生し、オーバーフロ-状態となります。
技術的な詳細については、こちらのアドバイザリをご覧ください。
対象期間
Talos では、これらの脆弱性を悪用しようとする試みを検出するため、以下の Snort ルールを開発しました。ただしこのルールは、新しい脆弱性情報が公開された際に変更される可能性があります。最新情報については、Firepower Management Center または Snort.org ををご覧ください。
Snort ルール:43483-43486
Talos が公開した他の脆弱性情報については、脆弱性報告ポータル(http://www.talosintelligence.com/vulnerability-reports/)をご覧ください。
脆弱性の開示方針については、次のサイトを参照してください。
http://www.cisco.com/c/en/us/about/security-center/vendor-vulnerability-policy.html
本稿は 2017年12月19日に Talos Group のブログに投稿された「Vulnerability Spotlight: VMWare VNC Vulnerabilities」の抄訳です。