VMware Workspace ONE UEM Console の深刻な SSRF の脆弱性 CVE-2021-22054 が FIX

VMware Patches Critical Flaw in Workspace ONE UEM Console

2021/12/17 SecurityWeek — 木曜日に VMware は、Workspace ONE UEM コンソールに存在する深刻なサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性に対するパッチをリリースした。この脆弱性を悪用する攻撃者は、管理コンソール内の機密データにアクセスする可能性があると、VMware は述べている。CVE-2021-22054 として追跡されている、このセキュリティエラーは、CVSS 9.1 となっている。

この脆弱性を利用するには、攻撃者が UEM へのネットワーク・アクセス権を持っている必要があるが、認証されていないリクエストを送信して、問題を引き起こすことができる。この脆弱性は、クラウド・コンピューティングおよび仮想化技術を扱う企業に報告されたものであり、対処のパッチと回避策がリリースされた。脆弱性 CVE-2021-22054 は、VMware Workspace ONE UEM コンソールの Ver 21.5.0.37/21.2.0.27/20.11.0.40/20.0.8.36 のリリースでは修正されている。また、VMware Workspace ONE UEM パッチ 21.9.0.13 以降でも、このバグに対応している。

また VMware は、VMware がホストする Workspace ONE コンソールの問題を緩和したとし、オンプレミスのインストールでは、いくつかの回避策が利用可能であると指摘している。

この問題は、VMware Cloud Operations が必要なパッチを展開するまで、インフラの変更により、すべての SaaS 環境で緩和されている。オンプレミス環境でパッチを適用できない企業は、サポート記事の中で利用可能な回避策を見つけだせる。この回避策は、リクエストに「url」クエリ・パラメータが含まれている場合に、特定のエンド・ポイントへのアクセスをブロックするように設計されており、悪用の可能性を排除している。

最近の VMware に関するトピックとしては、10月5日の「VMware ESXi Server を狙うランサムウェア:Python で3時間で仕事を終わらせる」や、11月10日の「VMware の vCenter Server の特権昇格の脆弱性:パッチに先行して回避策を提供」、11月24日の「VMware 警告:vSphere Web Client の脆弱性 CVE-2021-21980 に注意」などがあります。よろしけば、合わせて ご参照ください。

%d bloggers like this: