VMware Patches Pre-Auth Code Execution Flaw in Logging Product
2023/04/20 SecurityWeek — 4月20日 (木) に VMware は、Aria Operations for Logs (旧v Realize Log Insight) 製品群における、深刻なセキュリティ脆弱性 CVE-2023-20864/CVE-2023-20865 に対するパッチを緊急リリースした。これらの脆弱性は深刻度 High と評価されており、未認証の攻撃者に任意のコード実行をゆるす可能性がある。同社のセキュリティ・アドバイザリでは、企業が問題を軽減するためのガイダンスも提供されている。
VMware は CVE-2023-20864 (CVSS:9.8) に関して、「VMware Aria Operations for Logs にネットワークからアクセス可能な攻撃者は、root として未認証で任意のコードを実行できる可能性がある」と説明している。
2つ目の CVE-2023-20865 (CVSS:7.2) は、コマンド・インジェクションの脆弱性だ。アドバイザリでは、「VMware Aria Operations for Logs の管理者権限を持つ攻撃者が、root として任意のコマンドを実行できる」と説明されている。
VMware vRealize Logging 製品群におけるセキュリティ・トラブルは、よく知られている。同社は、過去にも複数の深刻度の高い脆弱性にパッチを適用しており、既知の脆弱性を標的としたエクスプロイト・コードの公開を確認している。
VMWare vRealize 製品は、CISA の KEV (Known Exploited Vulnerabilities) カタログに掲載されている。
VMware ですが、パッチの緊急リリースというのは、穏やかではありませんね。最近の記事としては、2023/03/24 の「Windows/Ubuntu/VMWare Workstation が陥落:Pwn2Own 2023 レポート Day_3」があります。こちらの記事には、CVE が記載されていませんが、その内容を読む限り、今日のものとは違うように思えます。また、2023/03/10 の「CISA KEV 警告 23/03/10:VMware の RCE 脆弱性 CVE-2021-39144 を追加」もありますが、古い脆弱性であっても CISA KEV に追加されるほど、悪用されているようです。よろしければ、VMware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.