VMware Issues Patches to Fix Critical Bugs Affecting Multiple Products
2021/08/06 TheHackerNews — VMware は、複数の製品のセキュリティ・アップデートを公開し、機密情報へのアクセスに悪用される可能性のある重要な脆弱性に対応した。脆弱性 CVE-2021-22002 (CVSS:8.6) および CVE-2021-22003 (CVSS:3.7) は、VMware Workspace One Access (Access) および、VMware Identity Manager (vIDM) 、VMware vRealize Automation (vRA)、VMware Cloud Foundation、VMware vRealize Suite Lifecycle Manager に影響する。
CVE-2021-22002 は、VMware Workspace One Access および Identity Manager が、ホスト・ヘッダーの改ざんにより Port 443 経由で、「/cfg」Web アプリおよび診断エンドポイントへのアクセスを許すことで、サーバー・サイド・リクエストが発生するという欠陥である。同社のアドバイザリには、「Port 443 を介したネットワーク・アクセスを可能にする脅威アクターは、ホスト・ヘッダーを改ざんして /cfg Web アプリへのアクセスを容易に行い、さらには、認証なしに /cfg 診断エンドポイントにアクセスすることもできる」と述べられている。この欠陥は、Trendyol の Suleyman Bayir により報告された。
また、VMware Workspace One Access and Identity Manager には、Port 7443 のログイン・インターフェイスが不用意に公開されることで、情報漏えいを生じる脆弱性が存在する。Port 7443 へのネットワーク・アクセスを持つ攻撃者は、ブルートフォース攻撃を行う可能性があるが、VMware は「ロックアウト・ポリシーの設定や、ターゲット・アカウントのパスワードの複雑さに応じて、攻撃の有無は異なる」と述べている。
最新バージョンにアップグレードできない顧客のために、VMware は CVE-2021-22002 に対する回避スクリプトを提供している。このスクリプトは、VMware vRealize Automation アプライアンスをオフラインにすることなく、独立して導入することが可能だ。ワーク・アラウンドでは、VMware Identity Manager のコンフィグレーション・ページの機能を無効にするとされている。このエンド・ポイントは、VMware vRealize Automation 7.6 環境では使用されていないため、影響はないとされている。
昨日にポストした「BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする」で、ロシアの脅威アクターが同社を狙っていることが分かりましたが、そのような攻撃を防ぐためにも、パッチの適用は重要です。隣の脆弱性情報キュレーション・チームによると、8月6日付で詳細レポートが配信されているようです。情報ソースに関しては、VMware には珍しく、CISA とのことです。
IoT OT Security News 