米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月13日(米国時間)、「VMware Releases Security Updates for Multiple products|CISA」において、VMwareの仮想化製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
- VMSA-2022-0031 - VMware vRealize Network Insight (vRNI) updates address command injection and directory traversal security vulnerabilities (CVE-2022-31702, CVE-2022-31703)
- VMSA-2022-0033 - VMware ESXi, Workstation, and Fusion updates address a heap out-of-bounds write vulnerability (CVE-2022-31705)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VMware ESXi 7.0
- VMware ESXi 8.0
- VMware Fusion 12.x
- VMware Workstation 16.x
- VMware vRealize Network Insight (vRNI) 6.2
- VMware vRealize Network Insight (vRNI) 6.3
- VMware vRealize Network Insight (vRNI) 6.4
- VMware vRealize Network Insight (vRNI) 6.5.x
- VMware vRealize Network Insight (vRNI) 6.6
- VMware vRealize Network Insight (vRNI) 6.7
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- VMware ESXi 7.0 ESXi70U3si-20841705
- VMware ESXi 8.0 ESXi80a-20842819
- VMware Fusion 12.2.5
- VMware vRealize Network Insight (vRNI) 6.2 HF
- VMware vRealize Network Insight (vRNI) 6.3 HF
- VMware vRealize Network Insight (vRNI) 6.4 HF
- VMware vRealize Network Insight (vRNI) 6.5.x HF
- VMware vRealize Network Insight (vRNI) 6.6 HF
- VMware vRealize Network Insight (vRNI) 6.7 HF
- VMware Workstation 16.2.5
一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。また、一部の脆弱性はセキュリティ研究者によって悪用できることが示されている。該当する製品を使用している場合は、ただちに対策を取ることが望まれる。