United States Computer Emergency Readiness Team (US-CERT)は4月2日(米国時間)、「VMware Releases Security Update |CISA」において、VMwareが提供する「Carbon Black Cloud Workloadアプライアンス」に脆弱性が報告され、同社がセキュリティアップデートをリリースしたと伝えた。

Carbon Black Cloud Workloadアプライアンスは、仮想環境で実行されているワークロードを保護するデータセンター向けのセキュリティ製品。今回報告された脆弱性を悪用されると、リモートの攻撃者によって管理インタフェースに対するアクセス時の認証をバイパスされる危険性があるという。

該当する脆弱性に関する情報は、VMware社による次のセキュリティアドバイザリにまとめられている。

  • VMSA-2021-0005

    VMSA-2021-0005

アドバイザリによると、リモートの攻撃者はVMware Carbon Black Cloud Workloadアプライアンスの管理インタフェース上のURLを操作することで認証をバイパスし、管理APIに不正にアクセスすることが可能になるという。その結果として、攻撃者によって該当製品の管理構成設定を表示および変更される危険性がある。

影響を受ける製品およびバージョンは次のとおりとなっている。

  • VMware Carbon Black Cloud Workload アプライアンス バージョン1.0.1以前

すでに修正版のバージョン1.0.2がリリースされており、アップデートすることでこの問題を回避可能。脆弱性の深刻度を表すCVSS v3のスコアは9.1で、5段階中で一番高い「緊急」に分類されている。