VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは？：VMware製品の注意すべき脆弱性【前編】

VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。

≫ 2023年12月07日 10時00分公開

[Alexander Culafi，TechTarget]

印刷／PDF

メール通知

連載「TechTarget発　先取りITトレンド」の新着をメールで通知

見るPost

Shareシェア

Shareはてなブックマーク

VMware製品の“深刻な脆弱性”を回避するには

会員登録（無料）が必要です

併せて読みたいお薦め記事

VMware製品の脆弱性

　VMwareが公表した脆弱性「CVE-2023-34060」は、VMware Cloud Directorの一部のバージョンに影響する脆弱性だ。同ツールを実行するためのインフラ「VMware Cloud Director Appliance」を旧バージョンからバージョン10.5にアップグレードした場合にこの脆弱性の影響を受ける。新しくインストールした10.5には影響しない。10.4以前の旧バージョンのVMware Cloud Directorも影響を受けない。この脆弱性の深刻度は、業界標準の脆弱性評価基準「CVSS v3」で最も深刻なスコア「緊急」に相当する9.8となっている。

　この脆弱性は、特定のポートにアクセスする際のログイン認証を回避できるようにする。同社の説明によれば、バージョン10.5にアップグレードされたVMware Cloud Director Applianceは、アプライアンスへのネットワークアクセス権を持つ悪意ある利用者が、22番ポートまたは5480番ポート経由で認証を受ける際にログイン制限を回避できる。ただし443番ポートでは、このような回避はできないとのことだ。

　ソースコード共有サービス「GitHub」で公開されたセキュリティ勧告によると、この問題は主に、VMware Cloud Director Applianceで利用する「Linux」ベースのOS「Photon OS」と、このOSが使用しているシステムサービス「System Security Services Daemon」（SSSD）に関連しているという。「VMware Cloud Directorアプライアンスが影響を受ける理由は、使用されているPhoton OSのSSSDの、特定のバージョンがCVE-2023-34060の影響を受けるためだ」と、VMwareは述べている。

　VMwareは既にこの脆弱性に対するセキュリティパッチを提供している。このパッチを提供する前に、同社は脆弱性の影響を受けるユーザー企業がパッチのリリース前に手作業で実行できる回避策も公開していた。

　VMwareの広報担当者によると、本稿執筆時点でCVE-2023-34060の攻撃者による悪用は確認されていないという。「当社は、影響を受ける顧客がこの問題を修正し、自社のインフラを保護するためのガイダンスを提供している。当社にとって顧客のセキュリティは最優先事項だ」と、広報担当者は述べる。

　後編は、VMware製品で発見された主要な脆弱性や、VMware製品への主な攻撃の手口を詳しく解説する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ