2026/03/04 SecurityAffairs ‐‐‐ 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Broadcom VMware Aria Operations/Qualcomm の各製品に関連する脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。今回カタログへ追加された脆弱性は、以下の 2件である。
- CVE-2026-22719 (CVSS 8.1):VMware Aria のコマンド・インジェクション
- CVE-2026-21385 (CVSS 7.8):Qualcomm チップセット群のメモリ破損
2026年2月に Broadcom が公開したのは、VMware Aria Operations に影響する複数の脆弱性 (CVE-2026-22719 を含む) に対処するセキュリティ更新プログラムである。
IT 運用管理プラットフォーム VMware Aria Operations は、仮想環境/クラウド環境/ハイブリッド環境の監視および最適化を支援するものである。IT チームに対してインフラの可視性と制御性を提供することで、効率性/信頼性/コンプライアンスの確保を可能にする。具体的な機能として挙げられるのは、パフォーマンス監視/キャパシティ・プランニング/自動アラート/コスト分析などである。
CISA KEV に登録された CVE-2026-22719 は、コマンド・インジェクションの脆弱性であり、未認証攻撃者がリモートから悪用可能である。
Broadcom のアドバイザリでは、「この問題を悪用する未認証の脅威アクターは、任意のコマンドを実行できる。VMware Aria Operations のバージョン移行プロセス中において、リモート・コード実行 (RCE) が発生する可能性がある」と述べている。なお、この脆弱性は、非公開で Broadcom に報告された。
KEV カタログへ登録された 2 件目は、Qualcomm の複数チップセットに存在するメモリ破損の脆弱性 CVE-2026-21385 である。
この欠陥は、Graphics コンポーネントにおけるバッファ・オーバーリード (buffer over-read) の欠陥であり、機密メモリ・データへのアクセスを、攻撃者に対して許す可能性がある。この脆弱性により、Android ユーザーに対して継続的なリスクが発生する可能性がある。
Google によると、CVE-2026-21385 (CVSS:7.8) は Android デバイスで使用されるオープンソース Qualcomm コンポーネントに影響する深刻度 High の脆弱性であり、実際に悪用されていることが確認されている。
Google のアドバイザリには、「脆弱性 CVE-2026-21385 は、限定的な標的型の攻撃で悪用されている可能性がある」と記されている。
CISA の Binding Operational Directive (BOD) 22-01:Reducing the Significant Risk of Known Exploited Vulnerabilities によると、連邦民間行政機関 (FCEB) は指定期限までに特定された脆弱性へ対処しなければならない。これは KEV カタログに掲載された欠陥を悪用する攻撃からネットワークを保護するためである。CISA は連邦機関に対し、2026年3月24日までに、これらの脆弱性を修正するよう命じている。
また、専門家たちは民間組織に対しても、KEV カタログを確認し、自組織インフラ内に存在する該当脆弱性へ対処することを推奨している。
米国 CISA が公開した KEV カタログに 2 件の脆弱性が追加されました。これらの脆弱性は、すでに実環境で悪用が確認されているため、迅速な対応が必要です。1 つ目の CVE-2026-22719 は、VMware Aria Operations におけるコマンド・インジェクションの脆弱性です。この脆弱性の原因は、外部からの入力値に対する不適切な検証にあり、意図しないコマンドを実行させてしまう可能性があります。
2 つ目の CVE-2026-21385 は、Qualcomm のチップセットにおけるメモリ破損の脆弱性です。グラフィックス処理時に、割り当てられたメモリ領域を超えてデータを読み取る、バッファ・オーバーリード (buffer over-read) という問題が生じ、重要な情報を漏洩するリスクが引き起こされます。
いずれの脆弱性も、データを正しく取り扱えない状態で、プログラムが動作し続けることに根本的な問題があります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.