VMWare ESXi、Workstation、Fusionに複数の脆弱性。Webサイトへの影響と対策について解説します (CVE-2021-22040 他4件)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年2月にVMWare ESXi、Workstation、Fusionについて複数の脆弱性(CVE-2021-22040、CVE-2021-22041 CVE-2021-22042、CVE-2021-22043、CVE-2021-22050)が発表されました。

それぞれアメリカ国立標準技術研究所の脆弱性データベースでは危険度がMiddle〜Highとなっています。

https://nvd.nist.gov/vuln/detail/CVE-2021-22040

https://nvd.nist.gov/vuln/detail/CVE-2021-22041

https://nvd.nist.gov/vuln/detail/CVE-2021-22042

https://nvd.nist.gov/vuln/detail/CVE-2021-22043

https://nvd.nist.gov/vuln/detail/CVE-2021-22050

複数の脆弱性を組み合わせることにより別の仮想サーバから任意のコードを実行されてしまう可能性もあるため、VMWare のホストマシンを複数社で共用しているような環境では注意が必要です。

脆弱性の概要と対象となるバージョン

XHCI USB コントローラーにUse After Free脆弱性 (CVE-2021-22040)

・概要

開放済みのメモリを悪用することで、仮想マシンの管理者がホストマシン上の別の仮想マシンのVMXプロセスとしてコードを実行する可能性があります。

・対象バージョン

VMWare ESXi 3.11未満、4.4未満、6.5、6.7、7.0

VMWare Fusion 12.2.1未満

VMWare Workstation 16.2.1未満

UHCI USB コントローラーにDouble Fetch脆弱性 (CVE-2021-22041)

・概要

メモリ空間の不整合を悪用することで、仮想マシンの管理者がホストマシン上の別の仮想マシンのVMXプロセスとしてコードを実行する可能性があります。

・対象バージョン

VMWare ESXi 3.11未満、4.4未満、6.5、6.7、7.0

VMWare Fusion 12.2.1未満

VMWare Workstation 未満

settingsdに権限突破とTOCTOU攻撃の脆弱性 (CVE-2021-22042、CVE-2021-22043)

・概要

settingsd サービスに対して不正な権限でアクセスされたり、任意のファイルを書き込むことで特権を昇格させられる可能性があります。

・対象バージョン

VMWare ESXi 4.4未満、6.5、6.7、7.0

ESXiのrhttpproxyにDoS攻撃の脆弱性 (CVE-2021-22050)

・概要

ブラウザ経由でのサーバ管理に使われるrhttpproxyにDoS攻撃の脆弱性があり、悪用されるとサービスを停止させられてしまう可能性があります。

・対象バージョン

VMWare ESXi 3.11未満、4.4未満、6.5、6.7、7.0

脆弱性の対策

いずれの脆弱性もVMware公式でセキュリティフィックスのバージョンが提供されているため、それぞれのソフト、バージョンに応じてバージョンアップを行う必要があります。

https://www.vmware.com/security/advisories/VMSA-2022-0004.html

Webサイトへの影響について

いずれの脆弱性もサーバ管理サイドの脆弱性となり、Webサイトへ直接影響することはありません。ただし、仮想マシンを跨いで任意のコードを実行させられてしまう危険性もあるため、VMWare のホストマシンを共用しているような環境では注意が必要です。

さいごに

Webサイトを運用するにあたり、CMSやサイトだけでなく、インフラのセキュリティ情報にも注視する必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close