セキュリティの
学び場

今回の解説ニュース

VMware製品に認証回避と権限昇格の脆弱性がそれぞれ発表されています。いずれも修正パッチが公開されていますので、該当する製品をご利用中の方は速やかに対応を検討してください。今回、公表された脆弱性の内容について説明します。

今回、公表された2つの脆弱性「CVE-2022-22972」「CVE-2022-22973」で対象となるソフトウェアは、「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」です。ほぼすべてのバージョンが影響を受けますので、各バージョンの詳細については公式サイトの発表を確認してください。本脆弱性が組み合わせて悪用されると、各ソフトウェアのユーザ画面にアクセスできる攻撃者は、認証不要で管理者権限を取得できてしまう可能性があるということです。

脆弱性の影響度を示すCVSS v3のベーススコアは、認証回避の脆弱性である「CVE-2022-22972」が10点中9.8点で、IPAが定める深刻度は最も高い「緊急」、権限昇格の脆弱性である「CVE-2022-22973」が10点中7.8点で、IPAが定める深刻度は1段階低い「重要」とされています。いずれの脆弱性も修正パッチが公開されていますので、ご利用中の方は速やかにパッチを適用するか、脆弱性のあるシステムをネットワークから切り離すなど、早急に対応することが求められます。

米連邦政府サイバーセキュリティ諮問機関CISAからも早急な対策を指示

CISAは、アメリカ東部時間の23日午後5時までに脆弱性を修正するか、できない場合はネットワークから切断するよう指示しています。また、対応が難しい組織に対してCISAは技術的な支援も行うと発表しています。

実は、VMwareは4月6日にも別の脆弱性「CVE-2022-22954」と「CVE-2022-22960」に対してアップデートをリリースしており、攻撃者は修正パッチをリバースエンジニアリングすることで、脆弱性が未修正のVMware製品に対して攻撃を行っていました。それらにかかった時間は、アップデートがリリースされてから48時間以内だったとされています。

今回、5月18日にアップデートがリリースされた脆弱性「CVE-2022-22972」と「CVE-2022-22973」についてCISAは、以前の脆弱性と同様の影響を想定しており、許容できないリスクがあるとして、すべての連邦公務員行政機関に対して、アメリカ東部時間の23日午後5時までに、影響を受けるVMware製品の利用状況を把握して何らかの修正を行うことと、24日午後12時までに、指定の書式に従ってステータスを報告するよう指示しています。

製品ユーザが修正パッチ適用以外に気を付けるべきポイントとは

脆弱性が存在するVMware製品のユーザが、修正パッチを適用する以外に気を付けるべきポイントとして、実際にシステムへの偵察や攻撃が行われていないか監視することや、さらに新たな脆弱性が公表されないか最新の情報を入手することです。

現在、2022年5月23日時点では、今回公表された脆弱性の攻撃コードは確認することができませんでしたが、VMware製品で発見された過去の脆弱性や、CISAからの強い指示から、今後も状況は刻々と変化することが考えられます。そのような状況で、利用中のVMware製品に対する偵察や攻撃が行われていないかログを監視することや、本脆弱性を含むVMware製品について新たな情報が公開されていないか、当面は注意深く確認することが必要です。

理由は、立て続けに脆弱性が見つかったことで、様々なセキュリティ研究者がVMware製品に対して集中的に調査をすることが考えられるからです。また、以前に印刷スプーラの脆弱性でも触れさせていただきましたが、何度も修正を繰り返す場合は、ソフトウェアに設計上の問題が潜在していることも考えられます。

今回はVMware製品で発見された緊急度の高い脆弱性についてお届けしました。