United States Computer Emergency Readiness Team (US-CERT)は7月8日(米国時間)、「VMware Releases Security Update for VeloCloud|CISA」において、VMwareが提供しているSD-WAN by VeloCloud(以下、VeloCloud)にSQLインジェクション攻撃を許容する脆弱性が存在し、同社がセキュリティアップデートをリリースしたことを伝えた。この脆弱性を悪用されると、攻撃者によって対象システムから機密情報を盗み出される危険性がある。

VMware Releases Security Update for VeloCloud | CISA

脆弱性に関する情報は、開発元が提供している次のセキュリティアドバイザリにまとまっている。

VMSA-2020-0016

VeloCloudはVMwareが提供しているクラウドベースのSD-WAN (Software Defined Wide Area Network) 製品である。今回、脆弱性が存在すると発表されたのはVeloCloudに搭載されている「VeloCloud Orchestrator」の下記のバージョン。

VeloCloud Orchestrator 3.x

該当するバージョンのVeloCloud Orchestratorでは、入力値の検証が不十分なためにブラインドSQLインジェクション攻撃を許容してしまう脆弱性が含まれているとのこと。攻撃者はこの脆弱性を悪用して、悪意をもって細工されたSQLクエリを入力し、権限のないデータを取得できる可能性がある。

この問題が修正されたバージョンは次のとおり。

3.3.2 p2

3.4.1以上

パッチ適用済みの3.2.2、3.3.1、3.3.2、3.4.0

この脆弱性の深刻度は重要(Important)に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対して上記セキュリティアドバイザリを確認し、必要に応じてアップデートを適用することを推奨している。