こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年8月にVMWare 関連製品について複数の脆弱性(CVE-2022-31656、他9件)が発表されました。
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
中でもアクセスバイパスによる脆弱性(CVE-2022-31656)はCVSSv3のスコアが9.8(クリティカル)となっており、注意が必要です。
脆弱性の概要と対象となるバージョン
脆弱性の概要
VMware Workspace ONE Access、Identity Manager、およびvRealize Automationにはアクセスバイパスの脆弱性が存在します。この脆弱性を悪用されることでUIにネットワークアクセスできる攻撃者が認証を必要とせずに管理者権限を得ることができる可能性があります。
対象バージョン
VMware Workspace ONE Access 21.08.0.1, 21.08.0.0
VMWare Response Matrix Identity Manager 3.3.6, 3.3.5, 3.3.4
VMWare Response Response Matrix - Connectors 22.05
Response Matrix - vRealize Automation 8.x
脆弱性の対策
VMware公式でセキュリティフィックスのバージョンが提供されているため、それぞれのソフト、バージョンに応じてバージョンアップを行う必要があります。
https://kb.vmware.com/s/article/89096
また、そのほかにも複数の脆弱性の対応が発表されているためVMWare公式のアドバイザリから確認が必要です。
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
Webサイトへの影響について
一般的なWebサーバーで使われている製品ということではないため、Webサイトへ直接影響するケースはすくないかもしれません。ただし、仮想マシンを跨いで任意のコードを実行させられてしまう危険性があるため、VMWare 製品でWebサーバーも構築している環境では注意が必要です。
さいごに
Webサイトを運用するにあたり、CMSやサイトだけでなく、インフラのセキュリティ情報にも注視する必要があります。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
