米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月21日(現地時間)、「VMware Releases Security Updates|CISA」において、VMwareがvCenter ServerおよびCloud Foundationにおける複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。

これらの脆弱性を悪用されると、攻撃者によって任意のファイルアップロードや権限の昇格、機密情報へのアクセス、不正な設定変更などの被害を受けるおそれがある。修正された脆弱性に関する情報は、VMwareによる次のセキュリティアドバイザリにまとめられている。

  • VMSA-2021-0020

    VMSA-2021-0020

アップデートの対象となっている製品は以下の通り。

  • VMware vCenter Server
  • VMware Cloud Foundation

今回のセキュリティアップデートには、CVEベースで合計19件の脆弱性に対する修正が含まれている。そのうち、次の1件についてはCVSS v3のベーススコアが9.8で深刻度「緊急」に分類されており、特に注意が必要。

  • CVE-2021-22005: vCenter Serverにおけるファイルアップロードの脆弱性

これはvCenter ServerのAnalyticsサービスに含まれる脆弱性で、ポート443に対して特別に細工されたファイルをアップロードすることで、vCenterServer上で任意のコードを実行される可能性があるというものである。

上記のほかに、深刻度「重要」の脆弱性が9件、深刻度「警告」の脆弱性が9件、修正されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、VMwareによる上記セキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。