米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月17日、「VMware Releases Security Advisory|CISA」において、VMwareが提供している「Workspace ONE UEM(統合エンドポイント管理)」にSSRF(サーバサイドリクエストフォージェリ)の脆弱性が報告され、同社がセキュリティアドバイザリをリリースしたことを伝えた。
この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの機密情報にアクセスされる危険性があるという。
VMware社によるセキュリティアドバイザリは次のページで確認できる。
-
VMware Security Advisory - VMSA-2021-0029
アドバイザリによると、この脆弱性はUEMに対するネットワークアクセスを持つ攻撃者によって悪用される危険性があり、攻撃者は認証なしでリクエストを送信して機密情報にアクセスすることが可能になるという。影響を受ける製品およびバージョンは次のとおりとなっている。
- VMware Workspace ONE UEM console 2105
- VMware Workspace ONE UEM console 2102
- VMware Workspace ONE UEM console 2011
- VMware Workspace ONE UEM console 2008
この脆弱性は「CVE-2021-22054」として追跡されており、CVSS v3のベーススコアは9.1で深刻度「緊急(Critical)」に分類されている。それぞれ最新版にアップデートすることで影響を回避することができる。また、すぐにアップデートできない場合の一時的な緩和策が次のページにまとめられている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、ユーザおよび管理者に対して、VMwareによるセキュリティアドバイザリを確認した上で必要なアップデートまたは緩和策を適用することを推奨している。
