米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は6月23日(米国時間)、「VMware Releases Security Updates|CISA」において、VMwareが複数の製品の脆弱性に対処するためのセキュリティアップデートをリリースしたと伝えた。これら脆弱性を悪用されると、攻撃者によって対象のシステム上で認証を回避されたり、権限の昇格が行われたりするおそれがあるという。
該当する脆弱性に関する情報は、VMwareによる次のセキュリティアドバイザリで公開されている。
今回報告された脆弱性は以下の2つ。
- CVE-2021-21998: VMware Carbon Black App Controlの管理サーバにおける認証バイパスの脆弱性により、攻撃者が認証を必要とせずに製品への管理アクセスを取得できる可能性がある
- CVE-2021-21999: VMware Tools、VMware Remote Console、およびVMware App Volumesにおける権限昇格の脆弱性により、仮想マシンへの通常のアクセス権を持つ攻撃者が任意のコードを昇格された特権で実行できる
脆弱性の影響を受ける具体的な製品とバージョンは、それぞれのセキュリティアドバイザリで確認いただきたい。脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2021-21998が9.4で5段階中最も高い緊急に、CVE-2021-21999が7.8で5段階中2番目の重要に分類されている。いずれの脆弱性も、VMwareがリリースした最新バージョンにアップデートすることで回避することができる。