VMwareは3月30日(米国時間)、VMware vRealize Operationsに関するセキュリティアドバイザリ「VMSA-2021-0004」を公開した。それによると、vRealize Operationsに複数の脆弱性が発見され、関連する製品に対して修正バージョンをリリースしたという。これらの脆弱性を放置すると、攻撃者によってサーバサイドリクエストフォージェリ攻撃や任意のファイルの書き込みなどが行われる危険性がある
今回報告された脆弱性は次に挙げる2つで、いずれもvRealize Operations Manager APIに関連するもの。
- CVE-2021-21975 - vRealize Operations Manager APIにおけるサーバサイドリクエストフォージェリの脆弱性
- CVE-2021-21983 - vRealize Operations Manager APIにおける任意のファイル書き込みの脆弱性
CVE-2021-21975は、vRealize Operations Manager APIへのネットワークアクセスを持つ悪意のある攻撃者によってサーバサイドリクエストフォージェリ攻撃が可能になる脆弱性で、悪用されると管理者の資格情報の奪取などの被害につながる恐れがある。CVE-2021-21983は、vRealize Operations Manager APIへのネットワークアクセスを持つ悪意のあるユーザーによってOSの任意の場所にファイルを描き込むことができるという脆弱性である。
影響を受ける製品およびバージョンは以下のとおり。
- vRealize Operations Manager 7.5.0 / 8.0.0 / 8.0.1 / 8.1.0 / 8.1.1 / 8.2.0 / 8.3.0
- VMware Cloud Foundation(vROps) 3.x / 4.x
- vRealize Suiteライフサイクルマネージャー(vROps) 8.x
各製品に対する修正版のバージョンや回避策については、上記セキュリティアドバイザリを参照のこと。いずれの脆弱性もCVSSv3の評価では深刻度が5段階中上から2番目の重要に分類されているため、早急にアップデートを適用するか、適用できない場合は指定された回避策を実施することが推奨される。