出典: Security NEXT – https://www.security-next.com/181663
VMware Aria Operationsの脆弱性と悪用事例に関する米当局の注意喚起
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Broadcomの「VMware Aria Operations」に存在する複数の脆弱性が実際に悪用されているとして、2026年3月に注意喚起を発表しました。これに加え、Android向けの重要な脆弱性についても悪用が確認されており、広範な対策が求められています。
主要なポイント
- VMware Aria Operationsのコマンドインジェクション脆弱性(CVE-2026-22719)
Broadcom製のVMware Aria Operationsに存在する脆弱性で、サポート製品の移行中に任意のコマンドが実行される恐れがあります。これはシステムの完全な制御を奪われる可能性がある深刻な問題です。 - 複数の脆弱性をまとめて修正
Broadcomは2026年2月24日に「CVE-2026-22719」だけでなく、「CVE-2026-22720」「CVE-2026-22721」も含めたセキュリティアドバイザリを公開し、修正パッチを提供しています。 - Androidの整数オーバーフロー脆弱性(CVE-2026-21385)
Qualcomm製ディスプレイコンポーネントに起因する脆弱性で、メモリ破壊を引き起こす可能性があります。Googleは限定的な標的型攻撃による悪用の兆候を確認しており、2026年3月のAndroidセキュリティパッチで修正されています。 - CISAの脆弱性カタログ(KEV)への追加
これらの脆弱性は「悪用が確認された脆弱性カタログ(KEV)」に追加され、米国内の行政機関に対して迅速な対応が求められています。
技術的な詳細や背景情報
コマンドインジェクション脆弱性(CVE-2026-22719)は、入力値の検証不足により攻撃者が任意のシェルコマンドを実行できる問題です。VMware Aria Operationsはクラウド環境の運用管理ツールであり、ここでの侵害は広範なシステム制御の奪取につながります。
整数オーバーフロー脆弱性(CVE-2026-21385)は、メモリ確保時のアラインメント(整列)処理における計算ミスが原因で、割り当てるメモリサイズが誤って小さくなり、結果としてバッファオーバーフローやメモリ破壊が発生します。これにより、攻撃者は任意コードの実行やシステムの不安定化を引き起こす可能性があります。
影響や重要性
これらの脆弱性は、企業や行政機関の重要なインフラやサービスに深刻な影響を及ぼす恐れがあります。特にVMware Aria Operationsは多くのクラウド環境で利用されているため、攻撃が成功すると大規模なシステム障害や情報漏洩につながるリスクがあります。
また、Androidの脆弱性はモバイル端末のセキュリティを脅かし、個人情報の漏洩や端末の乗っ取りといった被害を引き起こす可能性があるため、ユーザーは速やかなアップデート適用が必要です。
まとめ
米CISAの注意喚起は、VMware Aria Operationsをはじめとする複数の重要な脆弱性が実際に悪用されていることを示しています。特にコマンドインジェクションや整数オーバーフローといった攻撃は、システムの完全な制御奪取につながるため、関係者は速やかに最新のセキュリティパッチを適用し、被害拡大を防ぐ必要があります。
今後も脆弱性情報の収集と迅速な対応が、企業や個人の情報資産を守る上で不可欠です。
