Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは？：TechTarget発 世界のITニュース

2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。

[Shaun Nichols，TechTarget]

　2021年8月下旬、Cisco Systems、F5 Networks、VMwareは相次いで、自社製品に含まれる脆弱（ぜいじゃく）性に関するセキュリティアップデートを公開した。脆弱性は任意のコード実行を可能にする恐れがあるため、各社は早急なアップデートの適用を推奨している。同時期に、暗号化通信のためのオープンソースのソフトウェア「OpenSSL」にも脆弱性が見つかった。

Ciscoだけではない　F5やVMwareにも数件の脆弱性を発見

併せて読みたいお薦め記事

企業を脅す脆弱性は無視してはいけない

• 無料SSLサーバ証明書発行のLet's Encryptに脆弱性　犯罪者が悪用する“穴”とは？
• Windows脆弱性「PrintNightmare」に緊急パッチ提供　Microsoftはなぜ急いだのか

　Cisco Systemsの製品には、米国の非営利団体MITREが提供する脆弱性情報「CVE」（共通脆弱性識別子：Common Vulnerabilities and Exposures）リストに載っている17件の脆弱性が見つかった。同社製コントローラー「Cisco Application Policy Infrastructure Controller」（APIC）において任意のファイルの読み取りと書き込みを可能にする「CVE-2021-1577」が最も危険とみられる。

　F5 Networksの場合は、負荷分散装置（ロードバランサー）やアクセス管理ツールを中核としたネットワーク製品群「BIG-IP」とBIG-IP用一括管理ツール群「BIG-IQ」に、29件の脆弱性が見つかった。CVEリストでは全て重大なセキュリティリスクとは見なされないが、13件に関して注意が必要だという。

　今回、CVEリストに載ったVMwareの脆弱性は6件ある。脆弱性の影響を受ける製品は、同社のクラウド構築製品群「VMware Cloud Foundation」、クラウド管理製品群「VMware vRealize Operations」（バージョン8.5以前）、アプリケーションライフサイクル管理ツール「vRealize Suite LifecycleManager」だ。

　VMwareの最も危険な脆弱性は「CVE-2021-22025」だ。VMware vRealize OperationsのAPI（アプリケーションプログラミングインタフェース）のアクセス制御に関する脆弱性で、悪用されればネットワークにノードを追加し、他のノードを管理可能にする恐れがある。他に注意が必要な脆弱性「CVE-2021-22026」「CVE-2021-22027」は、情報流出につながるリスクがある。

　OpenSSLについては、2件の脆弱性が見つかった。「CVE-2021-3711」は暗号化アルゴリズムの復号処理の脆弱性で、OpenSSLを実行しているアプリケーションの動作が変更される可能性がある。CVEによる重要度は「高」だ。重要度「中」の「CVE-2021-3712」はメモリへの不要アクセスに悪用される可能性がある。

TechTarget発　世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。