VMwareは6月20日(米国時間)、「VMSA-2023-0012.2 - VMware Aria Operations for Networks updates address multiple vulnerabilities. (CVE-2023-20887, CVE-2023-20888, CVE-2023-20889)」において、セキュリティアドバイザリで修正対象としている脆弱性の一つが悪用されていることを確認したとして、注意を呼び掛けた。
VMwareは先のセキュリティアドバイザリにおいて、「VMware Aria Operations for Networks」に次の3つの脆弱性が存在すると報じている。
- CVE-2023-20887 - コマンドインジェクションの脆弱性。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System) v3のスコア値は9.8で深刻度は緊急(Critical)
- CVE-2023-20888 - 認証されたデシリアライズの脆弱性。CVSSv3のスコア値は9.1で深刻度は緊急(Critical)
- CVE-2023-20889 - 情報漏えいの脆弱性。CVSSv3のスコア値は8.8で深刻度は重要(High)
脆弱性が存在するプロダクトおよびバージョンは次のとおり。
- VMware Aria Operations Networks 6.x
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- VMware Aria Operations Networks 6.x KB92684
今回悪用が確認されたのは共通脆弱性評価システム(CVSS)v3のスコア値が9.8と3つの中で最も高い「CVE-2023-20887」であることから注意が必要。悪用が確認されたということはまだアップデートを適用していないプロダクトが存在していることを示唆している。該当する製品を使用している場合は、上記のセキュリティアドバイザリを確認するとともに迅速にアップデートを適用することが望まれる。