※本ブログ記事は「2024年9月18日」時点で確認した情報をもとに作成しています。最新の情報は、BroadcomのSecurity Advisoriesサイトなどでご確認ください。

===============
【2024年10月22日追記】
10月21日に修正版のvCenter Serverのパッチがリリースされました。詳細と解決策については下記KBを参照ください。
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

なお、本脆弱性の対応を目的とした修正パッチが複数リリースされていますが、最新の修正パッチのみを適用すれば問題ありません。
===============
【2024年9月20日追記】
vCenter Serverを8.0 U3bへアップデートした際に、vSphere Clientが応答しなくなる可能性がある問題が発生しております。詳細と解決策については下記KBを参照ください。
https://knowledge.broadcom.com/external/article/377734
===============

こんにちは。SB C&S 大塚です。

2024年9月17日にBroadcomよりアナウンスされた脆弱性(VMSA-2024-0019)について紹介します。

今回のアナウンスは、多くのお客様がご利用しているvCenter Serverに対する脆弱性です。アナウンスされた情報の内「CVE-2024-38812」はCVSSv3のスコアが"9.8"（10段階評価）となっておりクリティカルな脆弱性となっています。

vCenter Server をご利用されているお客様は速やかにご確認頂くことを推奨します。

この脆弱性はIPA（情報処理推進機構）でも発表されています。詳細はこちらをご覧ください。

影響を受ける対象製品

• VMware vCenter Server
  • メジャーバージョン：7.0 / 8.0
    • マイナーバージョン：7.0 U3s未満 / 8.0 U1e未満 / 8.0 U2d未満 / 8.0 U3b 未満
    • 6.xについては、サポートが終了しているため未評価とされています。
      【2024年10月3日更新】
      vCenter Server 6.7も脆弱性(CVE-2024-38812)の対象として例外的にパッチがリリースされました。詳細は以下リリースノートをご参照ください。
      VMware vCenter Server 6.7 Update 3v Release Notes
      
      
• VMware Cloud Foundation(vCenter Serverを含む製品のため)
  • 4.x / 5.x

※補足事項

• ESXi については、本脆弱性には該当しません。
• VMware Cloud on AWSなどのクラウド型サービスについては、製品内のメッセージとしてVMSA情報が配信されるため、管理コンソールを確認してください。サービスに関する質問については、そのサービスのサポート プロセスに従ってください。

vCenter Serverのバージョン確認方法

ここでは、vCenter Serverのバージョン確認方法についてご紹介します。
vSphere Clientにログインし、vCenter Serverの [サマリ] タブを開きます。ビルドの項目に表示される番号（ビルド番号）を確認します。

 
次に、下記KBの情報を参照します。先ほど確認したビルド番号をページ内で検索し、vCenter Serverのバージョンを確認します。

Build numbers and versions of VMware vCenter Server
https://knowledge.broadcom.com/external/article?legacyId=2143838

　

下記画面キャプチャの例では、vCenter Server 8.0 Update 3のバージョンであることが確認できましたので、今回公開された脆弱性の対象バージョンであることが判断できます。

脆弱性の詳細

VMware vCenter Server のヒープオーバーフローの脆弱性 (CVE-2024-38812)

重大度：Critical / CVSSv3スコア：9.8

vCenter Serverには、DCERPCプロトコルの実装においてヒープオーバーフローの脆弱性があります。ネットワークアクセス権を持つ悪意のある攻撃者が、この脆弱性を利用して特別に作成されたネットワークパケットを送信することで、リモートコード実行が発生する可能性があります。

VMware vCenter の権限昇格の脆弱性 (CVE-2024-38813)

重大度：Critical / CVSSv3スコア：7.5

vCenter Serverには権限昇格の脆弱性があります。ネットワークアクセス権を持つ悪意のある攻撃者が、この脆弱性を利用して特別に作成されたネットワークパケットを送信することで、root権限に昇格する可能性があります。

　

解決策

影響を受ける対象のvCenter Serverをご利用の場合は、下記いずれかのバージョンへのアップデートが必要です。

• vCenter Server 7.0 U3s 以降
• vCenter Server 8.0 U3b 以降

【2024年10月3日更新】
vCenter Server 6.7も本脆弱性の対象として例外的にパッチがリリースされました。詳細は以下リリースノートをご参照ください。Broadcom サポートポータルのアカウントがあれば、有効なサポート契約が無くてもパッチファイルをダウンロードすることができます。
VMware vCenter Server 6.7 Update 3v Release Notes

※補足事項

• 今回の脆弱性はESXiへの影響はありませんので、本脆弱性への対応を目的としたESXiへのパッチの適用は不要です。
• HPE SimpliVity や Dell EMC VxRailなどのソリューションはベンダーに直接お問い合わせください。

　

脆弱性対処に伴うサービス影響

===============
【2024年9月20日追記】
vCenter Serverを8.0 U3bへアップデートした際に、vSphere Clientが応答しなくなる可能性がある問題が発生しております。詳細と解決策については下記KBを参照ください。
https://knowledge.broadcom.com/external/article/377734
===============

vCenter Serverのアップデート作業を行う際に、vCenter Serverの再起動が必要となります。よって、vCenter Serverと連携している製品（Horizonやバックアップ製品など）に一時的な影響が発生します。

なお、本脆弱性への対応を目的としたESXiへのパッチの適用は不要なため、vSphere環境上で動作している仮想マシンの起動状態は継続されます。

　

vCenter Serverのアップデート手順

ここでは、vCenter Server 8.0 のアップデートを VAMI（vCenter Server Appliance Management Interface）から実施する手順を紹介します。

VAMI以外の方法などを含む、vCenter Server Applianceアップデートの詳細については、以下のドキュメントをご確認ください。

vCenter Server Appliance のアップグレード
https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-vcenter-upgrade/GUID-30485437-B107-42EC-A0A8-A03334CFC825.html
　

アップデート作業で気になる点としては、vCenter Serverの再起動の発生有無や、実行中の仮想マシンへの影響が挙げられると思われます。
そこで、まずvCenter Serverの再起動の発生有無を確認します。これは、VAMIにてvCenter Serverのアップデート対象バージョンを確認する際に "再起動要求" の列に表示されます。基本的には再起動が必要となるケースが多いかと思います。

ダウンタイムの予測についても、VAMIにてアップデート対象のバージョンを確認する画面で確認できます。
[アップデート前のチェックを実行]をクリックすることで、vCenter Server のダウンタイム予測時間が表示されます。

なお、ここで表示されるダウンタイムはvCenter Serverのダウンタイムです。vCenter Serverの停止中は、vSphere Clientを使用した管理・監視ができなくなるため、仮想マシンの設定変更やvMotionは実施できませんし、DRSによる仮想マシンの負荷分散も一時的に動作しなくなります。

ただし、仮想マシンの起動状態は影響を受けませんし、構成済みのvSphere HAも引き続き動作します。

検証環境にてPatch適用にかかるvCenter Serverのダウンタイムを計測したところ、50分程度かかりました。アップデート前のチェックで表示された時間は約35分となっており、環境次第で変化すると思われますので、アップデート作業は計画的に行うことを推奨します。

Patch のダウンロード

上記で紹介したVAMIからアップデートを実施する手順では、vCenter Serverがインターネット接続されている環境であれば、自動的にPatchのファイルをダウンロードできます。
一方で、vCenter ServerがインターネットへアクセスできずにPatchファイルを取得できない環境の場合、管理者が直接Patchをダウンロードして適用する手順となります。

Patchのファイルは、下記の vCenter Server リリースノートにあるリンクからダウンロードが可能です。
ただし、ダウンロードには Broadcom サポートポータルの登録ユーザーである必要があります。なお、有効なサポート契約が無くてもパッチファイルはダウンロードすることができます。

• VMware vCenter Server 8.0 Update 3b Release Notes
• VMware vCenter Server 7.0 Update 3s Release Notes
• VMware vCenter Server 6.7 Update 3v Release Notes

Patch のダウンロードアイコンをクリックするとダウンロードが開始されます。

ダウンロードしたISOファイルをvCenter Serverの仮想マシンにマウントし、VAMIのアップデートにある [CD-ROMの確認] をクリックすると、Patchが選択できようになりアップグレード可能になります。

　

VMware Cloud Foundation での注意点

Cloud FoundationのSDDC Managerによってワークロード ドメインを構成している場合は、以下のKBにしたがって Async Patch Tool を使用してパッチを適用してください。

Applying individual product updates to VMware Cloud Foundation environments using Async Patch Tool (AP Tool)
https://knowledge.broadcom.com/external/article?legacyId=88287

　

解決策に関する補足事項

今回の脆弱性に関しては、暫定対応策はございません。上記の対応が必要となります。
また、vCenter Server 6.5 / 6.7 に関しては、2023年11月15日をもってTechnical Guidanceフェーズが終了し、サポートが完全に終了となっております。今回の脆弱性の対策として 8.0 U3b 以降へのアップグレードの実施が推奨されます。

　

当社では、vSphere 8.0へのアップグレードに関して解説したオンデマンドセミナーを公開しておりますので、ぜひご視聴ください。アップグレードするための流れや要件、確認事項、実際の手順などを紹介しております。詳細は以下からご確認ください。

VMware テクニカル講座特別編：vSphere 8.0 アップデート対策
https://licensecounter.jp/vmware/products/vs8updt.html

概要紹介ブログ：VMware テクニカル講座特別編 vSphere 8.0 アップデート対策
https://licensecounter.jp/engineer-voice/blog/articles/20230711_vsphere8_upgrade.html

　

参考情報

• VMSA-2024-0019:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-38812, CVE-2024-38813)
  https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
• VMSA-2024-0019 Questions & Answers
  https://blogs.vmware.com/cloud-foundation/2024/09/17/vmsa-2024-0019-questions-answers/
• 各アップデートのリリースノート
  VMware vCenter Server 8.0 Update 3b Release Notes
  VMware vCenter Server 7.0 Update 3s Release Notes
  VMware vCenter Server 6.7 Update 3v Release Notes
• IPAの発表：VMware 製品の脆弱性対策について(CVE-2024-38812 等)
  https://www.ipa.go.jp/security/security-alert/2024/alert20240918.html
• vSphere Web Client becomes unresponsive after upgrading the vCenter Server 8.0 Update 3b (8.0.3.00200)
  https://knowledge.broadcom.com/external/article/377734

Broadcom Support Portalでの製品ダウンロード、パッチダウンロード、ライセンスの確認方法が不明の方は、下記ブログにて手順をまとめておりますのでぜひご確認ください。

• Broadcom Support Portalでどう変わった？ VMware製品のダウンロード・ライセンスキーの管理
  https://licensecounter.jp/engineer-voice/blog/articles/20240815_bsp2.html

vCenter Serverのクリティカルな脆弱性（CVE-2024-38812, CVE-2024-38813）について紹介しました。vCenter Serverが対象となるため、影響のあるお客様が多いかと思います。
特にCVE-2024-38812においてはCVSSv3スコアが9.8となるため、対象バージョンをご利用されている場合は迅速なアップデート対応、またはvSphere 8.0U3b以降へのアップグレードを検討ください。