VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは?VMware製品の注意すべき脆弱性【前編】

VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。

2023年12月07日 10時00分 公開
[Alexander CulafiTechTarget]

関連キーワード

VMware | 脆弱性 | サーバ仮想化


 VMwareは2023年11月14日(現地時間)、同社のクラウドサービス管理ツール群「VMware Cloud Director」に重大な脆弱性があることを公表した。この脆弱性による影響や、どのような対策が必要なのかを具体的に見ていこう。

VMware製品の“深刻な脆弱性”を回避するには

 VMwareが公表した脆弱性「CVE-2023-34060」は、VMware Cloud Directorの一部のバージョンに影響する脆弱性だ。同ツールを実行するためのインフラ「VMware Cloud Director Appliance」を旧バージョンからバージョン10.5にアップグレードした場合にこの脆弱性の影響を受ける。新しくインストールした10.5には影響しない。10.4以前の旧バージョンのVMware Cloud Directorも影響を受けない。この脆弱性の深刻度は、業界標準の脆弱性評価基準「CVSS v3」で最も深刻なスコア「緊急」に相当する9.8となっている。

 この脆弱性は、特定のポートにアクセスする際のログイン認証を回避できるようにする。同社の説明によれば、バージョン10.5にアップグレードされたVMware Cloud Director Applianceは、アプライアンスへのネットワークアクセス権を持つ悪意ある利用者が、22番ポートまたは5480番ポート経由で認証を受ける際にログイン制限を回避できる。ただし443番ポートでは、このような回避はできないとのことだ。

 ソースコード共有サービス「GitHub」で公開されたセキュリティ勧告によると、この問題は主に、VMware Cloud Director Applianceで利用する「Linux」ベースのOS「Photon OS」と、このOSが使用しているシステムサービス「System Security Services Daemon」(SSSD)に関連しているという。「VMware Cloud Directorアプライアンスが影響を受ける理由は、使用されているPhoton OSのSSSDの、特定のバージョンがCVE-2023-34060の影響を受けるためだ」と、VMwareは述べている。

 VMwareは既にこの脆弱性に対するセキュリティパッチを提供している。このパッチを提供する前に、同社は脆弱性の影響を受けるユーザー企業がパッチのリリース前に手作業で実行できる回避策も公開していた。

 VMwareの広報担当者によると、本稿執筆時点でCVE-2023-34060の攻撃者による悪用は確認されていないという。「当社は、影響を受ける顧客がこの問題を修正し、自社のインフラを保護するためのガイダンスを提供している。当社にとって顧客のセキュリティは最優先事項だ」と、広報担当者は述べる。


 後編は、VMware製品で発見された主要な脆弱性や、VMware製品への主な攻撃の手口を詳しく解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...

news060.jpg

広報担当者の悩みあるある「取材を受けたのに思ったような記事にならないのは何故?」
自社や自社の製品・サービスについて広く知ってもらうためにメディアの取材を増やすこと...