2020年11月23日、VMwareは同社が提供するゼロトラストソリューションである WorkspaceOne等を含む複数の製品に対する脆弱性に関する報告を受けたと発表した。この脆弱性CVE-2020-4006はOSコマンドインジェクションを可能にし、悪用されると無制限の権限でコマンドが実行出来る。CVSは9.1であり、非常に緊急度の高い脆弱性となっている。

　なお、本脆弱性は現時点ではメーカーからパッチが適用されていない状態で公開された脆弱性であるため「ゼロデイ脆弱性」に該当する。

■概要

　影響を受ける製品の管理ポート8443にネットワークアクセス可能で、かつ、製品の管理者アカウントの有効なパスワードを持つ攻撃者は、基盤となっているOS上で無制限の権限でコマンドを実行できる。

　今回脆弱性が発見されたのは、VMwareが提供するゼロトラストソリューションを担う製品群であり、認証部分に大きく関わる製品であるため、OSから乗っ取られてしまうと認証機能を停止し業務を止めることや、認証情報の盗難といった攻撃へ応用される可能性もありそうだ。

■影響を受ける製品

以下の製品が本脆弱性を含んでいる。

　・Workspace One Access (Linux 版) バージョン 20.01

　・Workspace One Access (Linux 版) バージョン 20.10

　・VMware Identity Manager (Linux 版) バージョン 3.3.1

　・VMware Identity Manager (Linux 版) バージョン 3.3.2

　・VMware Identity Manager (Linux 版) バージョン 3.3.3

　・VMware Identity Manager Connector (Linux 版) バージョン 3.3.1

　・VMware Identity Manager Connector (Linux 版) バージョン 3.3.2

　・VMware Identity Manager Connector (Windows 版) バージョン 3.3.1

　・VMware Identity Manager Connector (Windows 版) バージョン 3.3.2

　・VMware Identity Manager Connector (Windows 版) バージョン 3.3.3

　・VMware Cloud Foundation バージョン 4.x

　・vRealize Suite Lifecycle Manager バージョン 8.x

■OSコマンドインジェクションとは

　OSコマンドインジェクションとは、攻撃者がアプリケーションを通じて、そのアプリケーションを動作させているサーバのOSに対してコマンドを実行できてしまう脆弱性。

■関連リンク

　・VMwareセキュリテイアドバイザリー:

　https://www.vmware.com/security/advisories/VMSA-2020-0027.html

　・回避策:

　https://kb.vmware.com/s/article/81731