米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、「VMware Releases Security Update|CISA」において、VMwareが提供するネットワーク仮想化製品「VMware NSX-T」に脆弱性が発見され、同社がセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者が自身のアカウントの権限よりも高い権限を取得できる可能性があるという。
脆弱性に関する情報は次のセキュリティアドバイザリにまとめられている。
これによると、問題はRBACによるロール割り当てにあり、悪用に成功するとローカスのゲストユーザーアカウントを持つ攻撃者が自分のアクセス権限レベルよりも高い権限を取得することができるという。影響を受けるプロダクトおよびバージョンは次の通り。
- VMware NSX-T 3.1.1
上記以外のバージョンは影響を受けないという。バージョン3.1.1を利用している場合は、新たにリリースされたバージョン3.1.2にアップデートすることで問題を回避することができる。
脆弱性の深刻度を表すCVSS v3のスコアは7.5で、5段階中2番目の「Important(重要)」に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティアドバイザリを確認し、必要なアップデートや回避策を適用することを推奨している。