Data Center Knowledgeは6月15日(米国時間)、「VMware Cloud Director Vulnerability Allows Data Center Takeovers|Data Center Knowledge」において、VMware Cloud Directorにおいて新たに発見された脆弱性により、1つのアカウントを乗っ取った攻撃者がデータセンター内の他のすべてのアカウントにアクセスできる危険性があると指摘した。この脆弱性のアップデートは既に公開されている。

VMware Cloud Director Vulnerability Allows Data Center Takeovers | Data Center Knowledge

VMware Cloud Director(旧vCloud Directorおよび旧vCloud Hybrid Service)は仮想データセンターのデプロイ・管理、仮想クラウドリソース管理などに使われているプラットフォーム。今回Data Center Knowledgeが指摘した脆弱性は、2020年5月にVMwareからセキュリティアドバイザリが公開されており、修正アップデートが提供されている。また、アップグレードが実施できない場合の回避策も公開されており、ユーザーは対策を取ることが可能な状況になっている。

Data Center Knowledgeはアップデートや対策が行われなかった場合に生じる問題を指摘している。攻撃者が取得したアカウント情報を使ってVMware Cloud Director管理コンソールにログインできた場合、コードインジェクションを使用してインフラストラクチャに侵入することが可能になる。この状態では、攻撃者がユーザーに気づかれることなく何でもできるとされており注意が必要。