VMware Plugs Critical Carbon Black App Control Flaw
2023/02/21 SecurityWeek — 2023年2月21 (火) に VMware は、大規模なセキュリティ・アップデートをリリースし、エンタープライズ向け製品 Carbon Black App Control に存在する深刻な脆弱性を修正した。VMware のセキュリティ・アドバイザリが警告するのは、この脆弱性 CVE-2023-20858 の悪用に成功した攻撃者が、インジェクション攻撃を仕掛け、基盤となるサーバ OS にフルアクセスできるようになる可能性である。
VMware は、「App Control の管理コンソールへのアクセス権限を得た攻撃者は、特別に細工した入力を介して、基盤となるサーバ OS にアクセスする可能性を持つ」と警告している。この脆弱性の CVSS スコアは 9.1 であり、Microsoft Windows OS 上で動作する App Control 8.7.x/8.8.x/8.9.x に影響を与える。
同社によると、この脆弱性は、バグバウンティ・プラットフォーム HackerOne で活動する、セキュリティ研究者の Jari Jääskelä により、非公開で報告されたものだという。
VMware Carbon Black App Control は、重要なシステムやエンドポイントにおいて、信頼/承認されたソフトウェアのみを実行するためのセキュリティ製品であり、企業のセキュリティ担当者に利用されるものだ。
さらに VMware は、vRealize Orchestrator 製品の権限昇格/情報漏えいの脆弱性 CVE-2023-20855 に関するアドバイザリーも公開した。同社は、「vRealize Orchestrator に管理者以外のアクセス権を持つ攻撃者は、特別に細工した入力を介して XML 解析の制限を回避し、機密情報へのアクセスや特権の昇格へといたる可能性がある」と説明している。
このところ、ESXiArgs ランサムウェアの攻撃に頭を悩ます VMware ですが、対象となるのが CVE-2021-21974 という古いもので、2年も前にパッチが適用されているのですから、ちょっと可哀想です。そこに、新たな脆弱性が登場したわけですが、それぞれのユーザーが速やかにアップデートしてくれるのを、期待しているはずだと思います。
2023/02/08:ESXiArgs の第二波攻撃:CISA スクリプトは無効化?
2023/02/08:CVE-2021-21974 攻撃:CISA が復旧ツール
2023/02/03:脆弱性 CVE-2021-21974:ESXiArgs 攻撃の標的に
IoT OT Security News 
You must be logged in to post a comment.