Security Affairsは10月12日(現地時間)、「VMware has yet to fix CVE-2021-22048 flaw in vCenter Server disclosed one year agoSecurity Affairs」において、1年前に公開された「VMware vCenter Server」の脆弱性がまだ修正されていないと伝えた。「CVE-2021-22048」として追跡されている脆弱性がまだ対処されていないとして、注意を呼び掛けている。
2021年11月に公開されたこの脆弱性は、深刻度がCVSSv3スコア値8.8で重要(High)と位置づけられている。vCenter Serverの統合Windows認証(IWA: Integrated Windows Authentication)メカニズムに脆弱性が存在するとされており、非管理アクセス権を持つ攻撃者によって悪用されると、より高い権限のグループに昇格される危険性があるという(参考「VMware vCenter Serverに特権昇格の脆弱性、管理者権限を奪取される恐れ | TECH+(テックプラス)」)。
CVE-2021-22048は2022年7月にVMwareがリリースした「vCenter Server 7.0 Update 3f」にて対応したとされていた。しかしながら、同社がリリースしたセキュリティパッチでこの問題が修正されていないことが明らかとなった。
VMwareはこの脆弱性の回避策としてシングルサインオン(SSO: Single Sign On)のIDソース構成をIWAから「Active Directory over LDAPs authentication」または「Identity Provider Federation for AD FS」に変更する方法が提示されている。なお、「Active Directory over LDAPs authentication」に変更した場合はこの問題の影響を受けないが、信頼するドメインごとに固有のIDソースを構成する必要があると説明されている。