VMware Cloud Foundation の深刻な脆弱性 CVE-2021-39144 が FIX:RCE の可能性

VMware Releases Patch for Critical RCE Flaw in Cloud Foundation Platform

2022/10/26 TheHackerNews — 火曜日に VMware は、同社の VMware Cloud Foundation 製品群に存在する、深刻なセキュリティ上の欠陥に対処するセキュリティ・アップデートをリリースした。この脆弱性 CVE-2021-39144 は、XStream オープンソース・ライブラリを介したリモートコード実行に関連するものであり、深刻度を示す CVSS 値は 9.8 と評価されている。

同社はアドバイザリにおいて、「VMware Cloud Foundation (NSX-V) の入力シリアライゼーションに XStream を利用する、未認証のエンドポイントを悪用する脅威アクターにより、アプライアンス上の root のコンテキストでリモートコードが実行される」と発表している。

この脆弱性は深刻であり、また、悪用のハードルが比較的低いことを考慮し、VMware は end-of-life 製品に対しても、パッチも提供している。

VMware は、今回のアップデートの一部として、XML External Entity (XXE) の脆弱性 CVE-2022-31678 (CVSS:5.3) にもパッチを適用し、悪用によるサービス妨害 (DoS) および不正情報開示に対処したとしている。

これらの脆弱性は、Source Incite の Security Researcher である Sina Kheirkhah と Steven Seeley により報告された。

VMware Cloud Foundation のユーザーに対しては、潜在的な脅威を軽減するために、パッチを適用が推奨されている。

注記:10月28日の Exploit released for critical VMware RCE vulnerability によると、すでに PoC エクスプロイトが提供されているようです。続報として翻訳中です。

VMware Cloud Foundation の脆弱性 CVE-2021-39144 が FIX し、end-of-life 製品も含めてパッチが提供されたとのことです。CVSS 値が 9.8 であり、悪用のハードルが比較的低いことに、その理由があるようですが、ここは VMware に拍手ですね。最近の VMware の脆弱性としては、10月7日の「VMware vCenter Server の深刻な脆弱性 CVE-2022-31680 などが FIX」や、10月11日の「VMware vCenter Server の脆弱性 CVE-2021-22048:2021年に公開され今もパッチ未適用」などがあります。また、最近の VMware は、とても素晴らしいレポートも出していますので、よろしければ、VMware で検索も、ご利用ください。

%d bloggers like this: