VMware製品の脆弱性(CVE-2022-22954/CVE-2022-22960/CVE-2022-22972/CVE-2022-22973) まとめ
■サマリー
- 2022年4月~5月にかけてVMware製品の深刻な脆弱性が公表されました。
- これを受けてCISA*1が緊急指令22-03を発出しました。
- 前回の緊急指令は22-02_ApacheLog4j
- 該当製品を利用している場合は急ぎアップデートが必要です。 www.cisa.gov
■脆弱性番号:報告日
- CVE-2022-22954:2022年4月6日
- CVE-2022-22960:2022年4月6日
- CVE-2022-22972:2022年5月18日
- CVE-2022-22973:2022年5月18日
■どのような脆弱性か?
- CVE-2022-22954:Server-side Template Injection Remote Code Execution Vulnerability
- Base Score:9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- NWにアクセスできる攻撃者が、サーバサイドテンプレートインジェクションを起因としてリモートコードを実行する恐れがあります。
- CVE-2022-22960:Local Privilege Escalation Vulnerability
- Base Score:7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- ローカルアクセス権を持つ攻撃者が特権を「root」に昇格させる恐れがあります。
- CVE-2022-22972:Authentication Bypass Vulnerability
- Base Score:9.8 NVD*2ではまだN/A
- UIへのネットワークアクセスを持つ攻撃者が、認証を回避し管理アクセスを取得する恐れがあります。
- CVE-2022-22973:Local Privilege Escalation Vulnerability
- Base Score:7.8 NVDではまだN/A
- ローカルアクセス権を持つ攻撃者が特権を「root」に昇格させる恐れがあります。
■影響を受ける製品
- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
■対策
- アップデートの適応
- アップデートができない場合は対象製品をネットワークから隔離
■緊急指令22-03が発出された経緯
- 2022年4月6日にCVE-2022-22954およびCVE-2022-22960が公表される。
- 脆弱性公表から48時間以内に攻撃者によりExploitコードが開発され脆弱性の悪用が開始。
- 2022年4月14日にCVE-2022-22954が既知の脆弱性Exploitカタログ*3に追加される。
- 2022年4月15日にCVE-2022-22960が既知の脆弱性Exploitカタログに追加される。
- 2022年5月18日にCVE-2022-22972およびCVE-2022-22973が公開される。
- 前回の脆弱性公表時に48時間以内に脆弱性の悪用が始まったため、今回も早期に悪用が開始されると想定される。
- 2022年5月18日に緊急指令22-03が発出される。 www.cisa.gov
- 前回の脆弱性公表時に48時間以内に脆弱性の悪用が始まったため、今回も早期に悪用が開始されると想定される。
■すでに悪用されている場合の侵害の調査
- 以下のURLに技術詳細、調査方法、IoC情報が載っています。
■その他参考サイト
*1:米国国土安全保障省サイバーセキュリティインフラセキュリティ庁
*2:アメリカ国立標準技術研究所(NIST)が管理するNational Vulnerability Database
*3:https://www.cisa.gov/known-exploited-vulnerabilities-catalog