米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「VMware Releases Security Update|CISA」において、VMwareが提供している「VMware ESXi」とこれを利用する「VMware Cloud Foundation」に複数の脆弱性が報告され、同社がセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって不正に認証が回避されたり、サービス拒否状態を引き起こされたりする危険性がある。
該当する脆弱性に関する情報は、VMwareによる次のセキュリティアドバイザリにまとめられている。
報告されている脆弱性は次の2つ
- CVE-2021-21994: ESXiに対して特別に細工されたリクエストを送信することで、SFCB(Small Footprint CIM Broker)認証を回避できる可能性がある
- CVE-2021-21995: ESXiで使用されるOpenSLPでヒープの範囲外のメモリが読み取られてサービス拒否状態を起こされる危険性がある
影響を受ける製品およびサービスは次のとおり。具体的なバージョンと回避策については、上記のアドバイザリを参照のこと。
- VMware ESXi
- VMware Cloud Foundation
CVE-2021-21994の深刻度はCVSS v3のベーススコアで7.0、CVE-2021-21995が5.3となっている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記セキュリティアドバイザリをチェックするとともに、必要になアップデートを適用することを推奨している。