【注意喚起】VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起

VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起がありました。

I. 概要
　2021年3月30日（米国時間）、VMwareは、VMware vRealize Operations Managerなどの製品における複数の脆弱性に関するアドバイザリ（VMSA-2021-0004）を公開しました。vRealize Operations Manager APIには、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性（CVE-2021-21975）と任意のファイル書き込みの脆弱性（CVE-2021-21983）があります。脆弱性が悪用された場合、遠隔の第三者が管理者権限に関する情報を取得したり、任意のファイルをアップロードしたりするなどの可能性があります。
詳細は、VMwareが提供する情報を確認してください。

　VMware
　VMSA-2021-0004
　https://www.vmware.com/security/advisories/VMSA-2021-0004.html

JPCERT/CCでは上記の脆弱性の内、SSRFの脆弱性（CVE-2021-21975）について、脆弱性を実証したとみられるコードや、脆弱性の影響を受けるシステムを探索するスキャナーに関する情報を確認しています。また、脆弱性の報告者は、これらの脆弱性を組み合わせることで、認証されていない遠隔の第三者が任意のコードを実行する可能性があると指摘しています。

本脆弱性の影響を受ける製品をご利用の場合、「III. 対策」「IV. 回避策」を参考に速やかに対応実施を検討してください。

II. 対象
　対象となる製品とバージョンは次のとおりです。

- VMware vRealize Operations Manager 8.3.0
- VMware vRealize Operations Manager 8.2.0
- VMware vRealize Operations Manager 8.1.1, 8.1.0
- VMware vRealize Operations Manager 8.0.1, 8.0.0
- VMware vRealize Operations Manager 7.5.0
- VMware vRealize Operations Manager 7.0.0
- VMware Cloud Foundation (vROps) 4系
- VMware Cloud Foundation (vROps) 3系
- VMware vRealize Suite Lifecycle Manager (vROps) 8系

III. 対策
　VMwareから本脆弱性を修正したパッチが公開されています。各バージョンに対応したパッチの適用をご検討ください。なお、VMware vRealize Operations Manager 7.0.0は、パッチの提供が予定されていないとのことです。

IV. 回避策
　回避策として、VMware vRealize Operations Managerについて、次の対応が挙げられています。なお、vRealize Operationsクラスター内の全ノードに対する適用およびCaSAサービスの再起動が必要です。詳細は、VMwareのアドバイザリから各バージョンに対応する回避策の情報を確認してください。

- casa-security-context.xmlから特定の設定行を削除する

　VMware
　vRealize Operations 8.3 Security Patch for VMSA-2021-0004 (83210)
　https://kb.vmware.com/s/article/83210

V. 参考情報
　VMware
　VMSA-2021-0004
　https://www.vmware.com/security/advisories/VMSA-2021-0004.html

引用元：JPCERTコーディネーションセンター
　　　 「注意喚起」
　　　　https://www.jpcert.or.jp/at/