記事本文(要約)
Broadcom傘下のVMwareは、データ漏洩、コマンド実行、及びサービス拒否攻撃の危険性を持つ主要インフラソフトの脆弱性に対する緊急パッチを公開しました。7つの脆弱性がVMware Cloud Foundation、ESXi、vCenter Server、Workstation、Fusionに存在します。
特に重要なアドバイザリであるVMSA-2025-0009は、NATO Cyber Security Centreによって報告された3つの脆弱性を指摘しています。その中で最も深刻なのは、CVSSスコア8.2のディレクトリトラバーサル問題(CVE-2025-41229)です。悪意のある攻撃者がポート443にアクセスし、内部サービスにアクセスする可能性があります。
情報漏洩バグ(CVSS 7.5)や認可欠如エラー(CVSS 7.3)の修正も行われ、ユーザーにはVMware Cloud Foundation 5.2.1.2へのアップグレードが推奨されています。
別のアドバイザリVMSA-2025-0010では、vCenterの認証されたコマンド実行脆弱性(CVE-2025-41225、CVSS 8.8)が最も重要とされています。他にも、サービス拒否状態(CVSS 6.8と5.5)や反射型XSS(CVSS 4.3)が報告されています。これらの脆弱性に対する回避策は特に提供されておらず、現時点で野放しの悪用は確認されていません。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 20 May 2025 13:57:36 +0000
Original URL: https://www.securityweek.com/nato-flagged-vulnerability-tops-latest-vmware-security-patch-batch/
詳細な技術情報
文章に基づいて、VMwareの最近の脆弱性について以下のように分析します。
CVE番号と脆弱性の仕組み
- CVE-2025-41229:
- 脆弱性の仕組み: ディレクトリトラバーサル問題。攻撃者が正規のファイルパス外のファイルやディレクトリにアクセスできてしまう可能性がある。
- CVSSスコア: 8.2/10
- 影響: 内部サービスへの不正アクセスが可能になる。
- 情報開示バグと認証不備エラー:
- 脆弱性の仕組み: 不正な情報開示や認証を経由せずにアクセスできる問題。具体的には、CVSS 7.5の情報開示バグとCVSS 7.3の認証不備が含まれる。
- CVE-2025-41225:
- 脆弱性の仕組み: vCenterにおける認証されたコマンド実行の欠陥。アラームの作成または変更を行う権限を持つ攻撃者が任意のコマンドを実行可能。
- CVSSスコア: 8.8/10
- 拒否サービス(DoS)と反射型XSS:
- 複数のDoS脆弱性が含まれ、ESXiとvCenterにおける反射型クロスサイトスクリプティング(XSS)問題も存在する。
攻撃手法
- ネットワーク経由で特定のポートにアクセスし、不正なコマンドやリクエストを送信することで、ディレクトリトラバーサルやコマンド実行が可能になる。
- 認証情報を取得または悪用して、意図しない操作を実行。
潜在的な影響
- 情報漏洩: 内部情報の取得により、機密データが流出するリスク。
- システム停止: DoS攻撃によってサービスの利用不能状態を引き起こす可能性。
- 不正操作: 任意のコマンド実行によって、システムの制御が奪われる恐れ。
推奨される対策
- 即時アップデート: VMware Cloud Foundation 5.2.1.2や関連パッケージ(ESXi、vCenter Server、Workstation、Fusion)に急いでアップデートすること。
- ネットワーク設定の見直し: ネットワークアクセスを制限し、不必要なポートやサービスへのアクセスを制御する。
- セキュリティ監視の強化: 既知の脆弱性に対する攻撃をリアルタイムで検知できるようにセキュリティ監視を強化する。
総括
VMwareが提供するアップデートを迅速に適用し、ネットワークセキュリティを見直すことが最も重要です。既存のシステムがこれらの脆弱性を利用した攻撃に対して脆弱であるため、即座の対応が求められます。
