VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは?:VMware製品の注意すべき脆弱性【前編】
VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。
VMwareは2023年11月14日(現地時間)、同社のクラウドサービス管理ツール群「VMware Cloud Director」に重大な脆弱性があることを公表した。この脆弱性による影響や、どのような対策が必要なのかを具体的に見ていこう。
VMware製品の“深刻な脆弱性”を回避するには
併せて読みたいお薦め記事
VMware製品の脆弱性
VMwareが公表した脆弱性「CVE-2023-34060」は、VMware Cloud Directorの一部のバージョンに影響する脆弱性だ。同ツールを実行するためのインフラ「VMware Cloud Director Appliance」を旧バージョンからバージョン10.5にアップグレードした場合にこの脆弱性の影響を受ける。新しくインストールした10.5には影響しない。10.4以前の旧バージョンのVMware Cloud Directorも影響を受けない。この脆弱性の深刻度は、業界標準の脆弱性評価基準「CVSS v3」で最も深刻なスコア「緊急」に相当する9.8となっている。
この脆弱性は、特定のポートにアクセスする際のログイン認証を回避できるようにする。同社の説明によれば、バージョン10.5にアップグレードされたVMware Cloud Director Applianceは、アプライアンスへのネットワークアクセス権を持つ悪意ある利用者が、22番ポートまたは5480番ポート経由で認証を受ける際にログイン制限を回避できる。ただし443番ポートでは、このような回避はできないとのことだ。
ソースコード共有サービス「GitHub」で公開されたセキュリティ勧告によると、この問題は主に、VMware Cloud Director Applianceで利用する「Linux」ベースのOS「Photon OS」と、このOSが使用しているシステムサービス「System Security Services Daemon」(SSSD)に関連しているという。「VMware Cloud Directorアプライアンスが影響を受ける理由は、使用されているPhoton OSのSSSDの、特定のバージョンがCVE-2023-34060の影響を受けるためだ」と、VMwareは述べている。
VMwareは既にこの脆弱性に対するセキュリティパッチを提供している。このパッチを提供する前に、同社は脆弱性の影響を受けるユーザー企業がパッチのリリース前に手作業で実行できる回避策も公開していた。
VMwareの広報担当者によると、本稿執筆時点でCVE-2023-34060の攻撃者による悪用は確認されていないという。「当社は、影響を受ける顧客がこの問題を修正し、自社のインフラを保護するためのガイダンスを提供している。当社にとって顧客のセキュリティは最優先事項だ」と、広報担当者は述べる。
後編は、VMware製品で発見された主要な脆弱性や、VMware製品への主な攻撃の手口を詳しく解説する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.