VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは?VMware製品の注意すべき脆弱性【前編】

VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。

2023年12月07日 10時00分 公開
[Alexander CulafiTechTarget]

関連キーワード

VMware | 脆弱性 | サーバ仮想化


 VMwareは2023年11月14日(現地時間)、同社のクラウドサービス管理ツール群「VMware Cloud Director」に重大な脆弱性があることを公表した。この脆弱性による影響や、どのような対策が必要なのかを具体的に見ていこう。

VMware製品の“深刻な脆弱性”を回避するには

 VMwareが公表した脆弱性「CVE-2023-34060」は、VMware Cloud Directorの一部のバージョンに影響する脆弱性だ。同ツールを実行するためのインフラ「VMware Cloud Director Appliance」を旧バージョンからバージョン10.5にアップグレードした場合にこの脆弱性の影響を受ける。新しくインストールした10.5には影響しない。10.4以前の旧バージョンのVMware Cloud Directorも影響を受けない。この脆弱性の深刻度は、業界標準の脆弱性評価基準「CVSS v3」で最も深刻なスコア「緊急」に相当する9.8となっている。

 この脆弱性は、特定のポートにアクセスする際のログイン認証を回避できるようにする。同社の説明によれば、バージョン10.5にアップグレードされたVMware Cloud Director Applianceは、アプライアンスへのネットワークアクセス権を持つ悪意ある利用者が、22番ポートまたは5480番ポート経由で認証を受ける際にログイン制限を回避できる。ただし443番ポートでは、このような回避はできないとのことだ。

 ソースコード共有サービス「GitHub」で公開されたセキュリティ勧告によると、この問題は主に、VMware Cloud Director Applianceで利用する「Linux」ベースのOS「Photon OS」と、このOSが使用しているシステムサービス「System Security Services Daemon」(SSSD)に関連しているという。「VMware Cloud Directorアプライアンスが影響を受ける理由は、使用されているPhoton OSのSSSDの、特定のバージョンがCVE-2023-34060の影響を受けるためだ」と、VMwareは述べている。

 VMwareは既にこの脆弱性に対するセキュリティパッチを提供している。このパッチを提供する前に、同社は脆弱性の影響を受けるユーザー企業がパッチのリリース前に手作業で実行できる回避策も公開していた。

 VMwareの広報担当者によると、本稿執筆時点でCVE-2023-34060の攻撃者による悪用は確認されていないという。「当社は、影響を受ける顧客がこの問題を修正し、自社のインフラを保護するためのガイダンスを提供している。当社にとって顧客のセキュリティは最優先事項だ」と、広報担当者は述べる。


 後編は、VMware製品で発見された主要な脆弱性や、VMware製品への主な攻撃の手口を詳しく解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。

news103.jpg

なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...

news160.jpg

業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...