VMware は本日、VMware Aria Operations for Logs 分析ツールの重大な脆弱性に対するエクスプロイト コードが利用可能になったことを顧客に警告しました。このツールは、管理者が大規模環境でテラバイト相当のアプリとインフラストラクチャのログを管理するのに役立ちます。
この欠陥 ( CVE-2023-20864 ) は、 4 月にパッチが適用された逆シリアル化の弱点であり、認証されていない攻撃者がパッチを適用していないアプライアンス上でリモート実行できるようになります。
悪用に成功すると、攻撃者はユーザーの介入を必要としない複雑さの低い攻撃に続いて、root として任意のコードを実行できるようになります。
「VMware は、CVE-2023-20864 のエクスプロイト コードが公開されたことを確認しました」と同社は最初のセキュリティ アドバイザリの更新で述べています。
「CVE-2023-20864 は重大な問題であり、アドバイザリの指示に従って直ちにパッチを適用する必要があります。」
VMware は 4 月に、管理者権限を持つリモート攻撃者が脆弱なアプライアンス上で root として任意のコマンドを実行できる、それほど深刻ではないコマンド インジェクションの脆弱性 (CVE-2023-20865) に対処するセキュリティ アップデートも発行しました。
どちらの欠陥も、VMware Aria Operations for Logs 8.12 のリリースで修正されました。幸いなことに、現時点では攻撃における悪用を示唆する証拠はありません。
VMware Aria Operations の欠陥が攻撃を受けている
最近、VMware は、VMware Aria Operations for Networks (旧 vRealize Network Insight) にパッチが適用された重大なバグ ( CVE-2023-20887 ) に関する別のアラートを発行しました。このバグにより、root ユーザーとしてリモート コマンドの実行が可能になり、攻撃に積極的に悪用されます。
CISAはまた、悪用された既知の脆弱性リストにこの欠陥を追加し、米国連邦政府機関に対し7月13日までにセキュリティアップデートを適用するよう命じた。
これを考慮して、管理者は、潜在的な攻撃に対する予防策として CVE-2023-20864 パッチを速やかに適用することを強くお勧めします。
オンラインに公開される VMware vRealize インスタンスの数は比較的少ないですが、これは主に組織内の内部ネットワーク アクセスに焦点を当てた、これらのアプライアンスの意図された設計と一致しています。
それにもかかわらず、攻撃者は侵害されたネットワーク内のデバイスに存在する脆弱性を利用することが多いことに注意することが重要です。
したがって、適切に構成された VMware アプライアンスでも脆弱なままであり、標的となる組織の内部インフラストラクチャ内で魅力的な標的となる可能性があります。
Comments