Trusted DesignCVE-2021-22017 の詳細
CVEの情報
説明:
Rhttproxy as used in vCenter Server contains a vulnerability due to improper implementation of URI normalization. A malicious actor with network access to port 443 on vCenter Server may exploit this issue to bypass proxy leading to internal endpoints being accessed.
CVE更新日: 2021-09-23 13:15:08.207000
CVSSバージョン: 3.1
CVSSスコア: 5.3
KEVの情報
KEV更新日: 2022-01-10
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.748350000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: medium
Automatable: True
CVE-2021-22017は、VMware vCenter ServerのRhttproxyコンポーネントにおけるURI正規化の不適切な実装に起因する脆弱性です。
1. 脆弱性の概要
vCenter Serverで使用されるRhttproxyには、URIの正規化の不適切な実装に起因する脆弱性が存在します。攻撃者は、vCenter Serverのポート443にネットワークアクセスを持つことで、この脆弱性を悪用してプロキシをバイパスし、内部エンドポイントにアクセスする可能性があります。
1.1 影響
この脆弱性が悪用された場合、内部エンドポイントへのプロキシバイパスが可能となり、機密情報が取得される可能性があります。
1.2 深刻度
CVSS v3.1の基本スコアは5.3(中)と評価されています。 * 攻撃元区分: ネットワーク * 攻撃条件の複雑さ: 低 * 必要な特権レベル: 不要 * ユーザ関与レベル: 不要 * スコープ: 変更なし * 機密性への影響: 低 * 完全性への影響: なし * 可用性への影響: なし
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性は特定のOSバージョンではなく、VMware vCenter Serverのバージョンに影響を与えます。 影響を受けるvCenter Serverのバージョンは以下の通りです。 * VMware vCenter Server 6.5. * VMware vCenter Server 6.7. * VMware vCenter Server 7.0. * VMware Cloud Foundation (vCenter Server) 3.
2.2 影響を受ける設定
この脆弱性は、vCenter ServerのRhttproxyコンポーネントに存在し、vCenter Serverのポート443へのネットワークアクセスがある場合に悪用される可能性があります。
3. 影響を受けた時の兆候
明確な「兆候」については具体的に記載されていませんが、プロキシをバイパスして内部エンドポイントにアクセスされる可能性があるため、通常では直接アクセスされないはずの内部サービスへの不審なアクセスログが確認される可能性があります。
4. 推奨対策
4.1 本対策
ベンダーが提供するセキュリティアップデートを適用してください。VMwareはセキュリティアドバイザリ「VMSA-2021-0020」を公開しています。
4.2 暫定回避策(緩和策)
参照したサイト