米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は22月16日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、VMware ESXi、Workstation、Fusion、NSX Data Center for vSphereなどに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

  • VMSA-2022-0004

    VMSA-2022-0004

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • ESXi 7.0 U3
  • ESXi 7.0 U2
  • ESXi 7.0 U1
  • ESXi 6.7
  • ESXi 6.5
  • Fusion 12.x
  • Workstation 16.x
  • Cloud Foundation (ESXi) 4.x
  • Cloud Foundation (ESXi) 3.x
  • NSX Data Center for vSphere すべてのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • ESXi 7.0 U3 ESXi70U3c-19193900
  • ESXi 7.0 U2 ESXi70U2e-19290878
  • ESXi 7.0 U1 ESXi70U1e-19324898
  • ESXi 6.7 ESXi670-202111101-SG
  • ESXi 6.5 ESXi650-202202401-SG
  • Fusion 12.2.1
  • Workstation 16.2.1
  • Cloud Foundation (ESXi) 4.4
  • Cloud Foundation (ESXi) 3.11
  • NSX Data Center for vSphere 6.4.13

脆弱性の一部は深刻度が重要(Important)に分類されているが、VMwareは脆弱性を組み合わせることでより深刻度が高まるとして全体としての深刻度を緊急(Critical)と評価している。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。