United States Computer Emergency Readiness Team (US-CERT)は2月12日(米国時間)、「VMware Releases Security Update|CISA」において、VMwareが提供する仮想マシンのレプリケーション・ソフトウェア「vSphere Replication」に脆弱性が存在し、同社がこれに対処するセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪 用されると、悪意を持った攻撃者によって基盤となるシステムで任意のシェルコマンドを実行される危険性があるという。
該当する脆弱性に関する情報はVMwareによる次のセキュリティアドバイザリにまとめられている。
これによると、vSphere Replicationの「Startup Configuration」ページにはコマンドインジェクションの脆弱性が存在し、ページの認証後に基盤となるシステムで任意のシェルコマンドを実行できてしまうという。この脆弱性を悪用するには、該当のvSphere Replicationに対する管理者権限による認証が必要となる。
今回のセキュリティアップデートの対象となるプロダクトおよびバージョンは次のとおり。
- vSphere Replication 8.3.x
- vSphere Replication 8.2.x
- vSphere Replication 8.1.x
- vSphere Replication 6.5.x
脆弱性の深刻度を表すCVSS v3のスコアは7.2で、5段階中2番目の重要(Important)に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対して、上記のセキュリティアドバイザリを確認し、必要なアップデートを適用することを推奨している。