VMware Patches High-Severity Vulnerabilities in Aria Operations
2024/11/26 SecurityWeek — VMware が 11月26日に公開したセキュリティ勧告 (VMSA-2024-0022) は、同社のクラウド IT 運用プラットフォーム Aria Operations 製品に存在する、5件のセキュリティ脆弱性に対処するものだ。同社が警告するのは、これらの脆弱性を悪用した攻撃者が、特権の昇格やXSS 攻撃を仕掛けるための、エクスプロイトを作成する可能性である。
今回パッチが公開された脆弱性は、以下の通りだ:
- CVE-2024-38830 (CVSS 7.8):ローカル特権昇格
ローカル管理特権を持つ攻撃者が、アプライアンスへのルート・アクセスを得るために悪用する可能性がある。 - CVE-2024-38831 (CVSS 7.8):ローカル特権昇格
プロパティ・ファイルの変更により、悪意のコマンド実行が達成され、ルートへの特権昇格が可能となる。 - CVE-2024-38832 (CVSS 7.1):蓄積型 XSS
ビューの編集権限を持つ攻撃者に、スクリプトのインジェクションを許す。 - CVE-2024-38833 (CVSS 6.8):蓄積型 XSS
メール・テンプレートを介した悪意のスクリプトのインジェクションを許す。 - CVE-2024-38834 (CVSS 6.5):蓄積型 XSS
クラウド・プロバイダーの編集機能が標的とする攻撃で、スクリプト注入をトリガーする脆弱性。
これらの脆弱性が影響を及ぼす範囲は、VMware Aria Operations 8.x および VMware Cloud Foundation 4.x/5.x の Aria Operations である。
VMware の発表内容では、これらの脆弱性に対する回避策は存在しないとされている。エンタープライズ・ユーザーに対して強く推奨されるのは、提供されているパッチを、速やかに適用することだ。
VMware の仮想化技術製品は、高度なハッキング・グループの主要な標的となっている。CISA KEV カタログには、VMware の欠陥に関する複数のエントリが含まれており、VMware Aria Operations に関するものも、少なくとも1つは登録されている。
VMware Aria Operations の5件の脆弱性が FIX しました。ご利用のチームは、ご注意ください。なお、関連する直近のトピックは、2024/07/10 の「VMware Aria Automation の脆弱性 CVE-2024-22280 が FIX:直ちにアップデートを!」となります。よろしければ、VMware で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.