VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは?VMware製品の注意すべき脆弱性【前編】

VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。

2023年12月07日 10時00分 公開
[Alexander CulafiTechTarget]

関連キーワード

VMware | 脆弱性 | サーバ仮想化


 VMwareは2023年11月14日(現地時間)、同社のクラウドサービス管理ツール群「VMware Cloud Director」に重大な脆弱性があることを公表した。この脆弱性による影響や、どのような対策が必要なのかを具体的に見ていこう。

VMware製品の“深刻な脆弱性”を回避するには

 VMwareが公表した脆弱性「CVE-2023-34060」は、VMware Cloud Directorの一部のバージョンに影響する脆弱性だ。同ツールを実行するためのインフラ「VMware Cloud Director Appliance」を旧バージョンからバージョン10.5にアップグレードした場合にこの脆弱性の影響を受ける。新しくインストールした10.5には影響しない。10.4以前の旧バージョンのVMware Cloud Directorも影響を受けない。この脆弱性の深刻度は、業界標準の脆弱性評価基準「CVSS v3」で最も深刻なスコア「緊急」に相当する9.8となっている。

 この脆弱性は、特定のポートにアクセスする際のログイン認証を回避できるようにする。同社の説明によれば、バージョン10.5にアップグレードされたVMware Cloud Director Applianceは、アプライアンスへのネットワークアクセス権を持つ悪意ある利用者が、22番ポートまたは5480番ポート経由で認証を受ける際にログイン制限を回避できる。ただし443番ポートでは、このような回避はできないとのことだ。

 ソースコード共有サービス「GitHub」で公開されたセキュリティ勧告によると、この問題は主に、VMware Cloud Director Applianceで利用する「Linux」ベースのOS「Photon OS」と、このOSが使用しているシステムサービス「System Security Services Daemon」(SSSD)に関連しているという。「VMware Cloud Directorアプライアンスが影響を受ける理由は、使用されているPhoton OSのSSSDの、特定のバージョンがCVE-2023-34060の影響を受けるためだ」と、VMwareは述べている。

 VMwareは既にこの脆弱性に対するセキュリティパッチを提供している。このパッチを提供する前に、同社は脆弱性の影響を受けるユーザー企業がパッチのリリース前に手作業で実行できる回避策も公開していた。

 VMwareの広報担当者によると、本稿執筆時点でCVE-2023-34060の攻撃者による悪用は確認されていないという。「当社は、影響を受ける顧客がこの問題を修正し、自社のインフラを保護するためのガイダンスを提供している。当社にとって顧客のセキュリティは最優先事項だ」と、広報担当者は述べる。


 後編は、VMware製品で発見された主要な脆弱性や、VMware製品への主な攻撃の手口を詳しく解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news190.jpg

インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...

news041.jpg

SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...

news143.jpg

HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...