VMware Plugs Critical Code Execution Flaws
2023/01/24 SecurityWeek — 2023年1月24日に VMware がリリースしたのは、RCE (Remote Code Execution) 攻撃につながる可能性のある、複数の深刻な脆弱性のパッチを含む、2023年最初のセキュリティ情報である。VMware によると、これらの脆弱性は、VMware vRealize Log Insight に影響を及ぼすものであり、悪用に成功した未承認の攻撃者に対して、ターゲット・システムの完全な制御を許す可能性があるという。
VMware vRealize Log Insight とは、ログ収集/分析用の仮想アプライアンスであり、syslog データの収集/表示/管理/分析に使用されるものだ。
公表された4つの脆弱性うちで、最も深刻な CVE-2022-31706/CVE-2022-31704 (CVSS:9.8) に対しては、パッチの適用が急務であると、同社は述べている。
カリフォルニア州パロアルトに拠点を置く VMware のアドバイザリには、「これらの脆弱性 (CVE-2022-31706/CVE-2022-31704/CVE-2022-31710/CVE-2022-31711) は、ディレクトリ・トラバーサル/アクセス・コントロールの破損という、危険性の高いものである」と記されている。
同社は、「認証されていない悪意の行為者が、影響を受けるアプライアンスの OS にファイルを注入し、リモートからコードを実行する可能性がある」と警告している。
今回のアップデートでは、vRealize Log Insight を DoS 攻撃の危険にさらすデシリアライゼーションの脆弱性 CVE-2022-31710と、攻撃者が認証なしで機密のセッション/アプリケーション情報をリモートで収集できる情報漏えいの脆弱性 CVE-2022-31711 も、修正されている。
VMware vRealize Log Insight の脆弱性であり、脅威アクターに完全な制御を許すことになると、深刻な事態に陥ることが想定されます。早急なアップデートを、検討してください。なお、最近の VMware 関連の記事としては、以下のものがあります。
2022/12/13:VMware ESXi に新たな Python バックドア
2022/11/09:Workspace ONE Assist の脆弱性が FIX
2022/10/28:Cloud Foundation の脆弱性:PoC エクスプロイトが公開
よろしければ、2022/10/17 の「VMware の OSS 調査:新たな懸念はサプライチェーンの効率と安全性の不足」も、ご参照ください。
追記:PoC エクスプロイトが出ています:
Experts released VMware vRealize Log RCE exploit for CVE-2022-31706
IoT OT Security News 
You must be logged in to post a comment.