VMware製品に深刻度最高レベルの認証回避、権限昇格の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月25日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・米連邦政府サイバーセキュリティ諮問機関CISAからも早急な対策を指示
・製品ユーザが修正パッチ適用以外に気を付けるべきポイントとは
今回の解説ニュース
VMware製品に認証回避、権限昇格の脆弱性。深刻度は最高レベル。米連邦政府CISAが対策を指示
米国土安全保障省傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティ・インフラストラクチャ安全保障局は5月18日、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。
VMware製品に認証回避と権限昇格の脆弱性がそれぞれ発表されています。いずれも修正パッチが公開されていますので、該当する製品をご利用中の方は速やかに対応を検討してください。今回、公表された脆弱性の内容について説明します。
今回、公表された2つの脆弱性「CVE-2022-22972」「CVE-2022-22973」で対象となるソフトウェアは、「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」です。ほぼすべてのバージョンが影響を受けますので、各バージョンの詳細については公式サイトの発表を確認してください。本脆弱性が組み合わせて悪用されると、各ソフトウェアのユーザ画面にアクセスできる攻撃者は、認証不要で管理者権限を取得できてしまう可能性があるということです。
脆弱性の影響度を示すCVSS v3のベーススコアは、認証回避の脆弱性である「CVE-2022-22972」が10点中9.8点で、IPAが定める深刻度は最も高い「緊急」、権限昇格の脆弱性である「CVE-2022-22973」が10点中7.8点で、IPAが定める深刻度は1段階低い「重要」とされています。いずれの脆弱性も修正パッチが公開されていますので、ご利用中の方は速やかにパッチを適用するか、脆弱性のあるシステムをネットワークから切り離すなど、早急に対応することが求められます。
米連邦政府サイバーセキュリティ諮問機関CISAからも早急な対策を指示
CISAは、アメリカ東部時間の23日午後5時までに脆弱性を修正するか、できない場合はネットワークから切断するよう指示しています。また、対応が難しい組織に対してCISAは技術的な支援も行うと発表しています。
実は、VMwareは4月6日にも別の脆弱性「CVE-2022-22954」と「CVE-2022-22960」に対してアップデートをリリースしており、攻撃者は修正パッチをリバースエンジニアリングすることで、脆弱性が未修正のVMware製品に対して攻撃を行っていました。それらにかかった時間は、アップデートがリリースされてから48時間以内だったとされています。
今回、5月18日にアップデートがリリースされた脆弱性「CVE-2022-22972」と「CVE-2022-22973」についてCISAは、以前の脆弱性と同様の影響を想定しており、許容できないリスクがあるとして、すべての連邦公務員行政機関に対して、アメリカ東部時間の23日午後5時までに、影響を受けるVMware製品の利用状況を把握して何らかの修正を行うことと、24日午後12時までに、指定の書式に従ってステータスを報告するよう指示しています。
その他のトピック
製品ユーザが修正パッチ適用以外に気を付けるべきポイントとは
(全文はこちら)