VMware vRealize Operations の API に関連する深刻な脆弱性が FIX

VMware addressed 4 High-Severity flaws in vRealize Operations

2021/08/26 SecurityAffairs — VMware が vRealize Operations の複数の脆弱性に対応したが、その中には深刻度の高い4つの欠陥が含まれている。最も深刻な欠陥は、CVE-2021-22025 (CVSS 8.6) として追跡されており、vRealize Operations Manager API のアクセス制御が壊れているという脆弱性である。攻撃者は、この脆弱性を悪用して、認証されていない API アクセスを得ることができる。

VMware は、「vRealize Operations Manager API には、認証されていない API アクセスにつながる、壊れたアクセス制御の脆弱性が存在する。この脆弱性の深刻度を CVSSv3 8.6 と評価している。vRealize Operations Manager API へのネットワーク・アクセスにおいて、認証されていない悪意のある行為者が、既存の vROps クラスタに新しいノードを追加できてしまう」と述べている。同社が対処した、その他の深刻度の高い欠陥は以下の通りだ。

• CVE-2021-22024 (CVSS score of 7.5) – Arbitrary log-file read vulnerability in vRealize Operations Manager API.
• CVE-2021-22026 and CVE-2021-22027 (CVSS score of 7.5) – Server Side Request Forgery in vRealize Operations Manager API.

VMware は、vRealize Operations Manager API の Insecure direct object reference 脆弱性 CVE-2021-22023 (CVSS 6.6) にも対処している。この脆弱性は、vRealize Operations Manager API に管理者権限を持つ、脅威アクターにより悪用されると他のユーザー情報が変更され、アカウントの乗っ取りにつながる可能性があるというものだ。その他の、VMware Cloud Foundation と vRealize Suite Lifecycle Manager に関する脆弱性にも対処している。

この脆弱性 CVE-2021-22024 と CVE-2021-22026 は、8月26日のレポートで拾われていました。こうした API 絡みの脆弱性が発見/修正されていくと、なんとなく安心してしまいますが、まだまだたくさん有るのだろうとも思えてしまいます。よろしければ、「API と セキュリティ:新たな頭痛のタネと処方箋」や、「ゼロトラストを API セキュリティに適用するには」なども、ご参照ください。

%d bloggers like this: