米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月24日(米国時間)、「VMware Releases Security Updates|CISA」において、VMware Carbon Black App Controlソフトウェアに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
-
VMSA-2022-0008 - VMware Carbon Black App Control update addresses multiple vulnerabilities
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VMware Carbon Black App Control 8.8.x (Windows版)
- VMware Carbon Black App Control 8.7.x (Windows版)
- VMware Carbon Black App Control 8.6.x (Windows版)
- VMware Carbon Black App Control 8.5.x (Windows版)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- VMware Carbon Black App Control 8.8.2 (Windows版)
- VMware Carbon Black App Control 8.7.4 (Windows版)
- VMware Carbon Black App Control 8.6.6 (Windows版)
- VMware Carbon Black App Control 8.5.14 (Windows版)
脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
日本の組織ではパッチ適用まで一カ月以上とワースト、トレンドマイクロが世界比較レポート
