ヴイエムウェア製品の深刻な脆弱性、CISAが早急なパッチ適用促す

今回は「ヴイエムウェア製品の深刻な脆弱性、CISAが早急なパッチ適用促す」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 米サイバーセキュリティインフラセキュリティ庁(CISA)は、VMwareが新たに公開した重大な脆弱性の影響を受ける製品に、直ちにパッチを適用するか、削除するよう警告している。

 CISAによると、パッチを適用できなければ削除するというこの極端な措置は、VMwareの深刻な脆弱性のアップデートが公開されて48時間以内に悪用された最近のケースに基づいている。

 VMwareは米国時間5月18日、「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」に影響するセキュリティの脆弱性が複数あることを明らかにした。

 これらの脆弱性は「CVE-2022-22972」「CVE-2022-22973」とされている。前者は認証を回避する脆弱性で、深刻度スコアは10点満点中の「9.8」、後者は権限昇格の恐れがある脆弱性で、スコアは「7.8」となっている。

 VMwareはアドバイザリーで、CVE-2022-22972について、管理ユーザーインターフェースへのネットワークアクセスを持つ攻撃者は、認証なしで管理者アクセスを取得できる恐れがあると警告している。

 同社は、提供しているパッチを直ちに適用するよう促しており、別のブログ記事でも「この脆弱性が与える影響は深刻だ」と述べている。

 CISAは米国の連邦民間行政機関に対し、直ちにパッチを適用するか、アップデートを適用可能になるまで、影響を受けるソフトウェアをネットワークから削除するように指示した。これはVMwareが4月に、同じ製品の2件の脆弱性(「CVE-2022-22954」「CVE-2022-22960」)を公開するやいなや、攻撃者が広範にわたって悪用したことに基づいている。

 同社は4月にパッチをリリースしたが、攻撃者は即座にパッチのリバースエンジニアリングを行い、それらを組み合わせるなどして悪用した。

 CISAは、「悪意のあるサイバーアクターは、48時間以内にベンダーのアップデートをリバースエンジニアリングしてエクスプロイトを開発し、パッチが適用されていないデバイスに存在するこれらの明らかにされた脆弱性を素早く悪用し始めた」と説明している。

 「こうした活動から、CISAは悪意のあるサイバー攻撃者が、VMwareが2022年5月18日に公開したCVE-2022-22972とCVE-2022-22973を、悪用できる機能を開発できると予想している」(CISA)

 セキュリティ企業のRapid7は、VMwareがパッチを公開してから6日後の4月12日に、脆弱性が広く活発に悪用されていることを発見した。その後間もなく、複数の公開された概念実証エクスプロイトが脆弱なシステムへのコインマイナーのインストールに利用されたという。攻撃者は、CVE-2022-22954(VMware Workspace ONE AccessとIdentity Managerに影響を与えるサーバーサイドテンプレートインジェクションの問題)とCVE-2022-22960(ローカル権限昇格の問題)を組み合わせて、root権限に昇格させたという。

 そのためCISAは、この最新のVMwareの脆弱性に関しても、連邦民間機関に対する「許容しがたいリスクがある」として、パッチ適用を指示する緊急指令を発行した。

 「CISAは、脅威アクターが、同じように影響を受けたVMWare製品でこれらの新たに公開された脆弱性を悪用する機能を素早く開発すると予想する。これらの脆弱性が悪用されると、攻撃者はリモートコード実行が可能になる恐れのあるサーバーサイドテンプレートインジェクションを起動したり(CVE-2022-22954)、root権限に昇格したり(CVE-2022-22960およびCVE-2022-22973)、認証なしで管理者アクセスを取得したり(CVE-2022-22972)できる恐れがある」(CISA)

 他国のサイバーセキュリティ当局は、VMwareの最新の脆弱性について警告を発していない。しかしCISAは、脆弱性なシステムがインターネットからアクセス可能であれば、すべての組織は速やかにパッチを適用することを推奨している。また、VMwareも影響を受ける一部製品の緩和策を公開している。

元記事: https://japan.zdnet.com/article/35187749/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
イオンリテール、「AIカカク」「AIオーダー」の適用範囲を拡大–AIが割引価格など提示
IT関連
2024-05-09 08:11
米議会公聴会でSolarWinds製品を悪用したハッキングについて議論–マイクロソフト幹部ら
IT関連
2021-03-01 08:46
EC・SaaS企業に収益ベース融資で資金を提供する仏SilvrがシリーズAで約171.5円調達
IT関連
2022-02-10 01:07
GitHub、スポンサーだけが見られるリポジトリ「Sponsors-only repositories」発表
GitHub
2022-02-04 22:12
デジタルサービスの“進化の第一歩”–リコー、データの重要度をスコア化する「仕事のAI」提供
IT関連
2021-06-18 15:35
Go言語が実行時のプロファイラ情報でコンパイルを最適化する「Profile-guided optimization」パブリックプレビュー
Go
2023-02-14 18:22
「WebAssembly 2.0」に関する最初のワーキングドラフが公開。整数における符号拡張命令、関数からの複数の戻り値などを拡張
WebAssembly
2022-05-02 18:38
Windows 11プレビュー版を装ったマルウェア多数 「Microsoft公式からの入手を」 Kasperskyが注意喚起
セキュリティ
2021-07-27 11:58
石川県の恵寿総合病院、リモートアクセスのシステムにゼロトラスト型セキュリティを導入
IT関連
2024-05-22 06:39
OTシステムや重要インフラを標的としたサイバー攻撃が増加–TXOne Networks
IT関連
2023-04-02 10:52
マイクロソフト、「Edge」旧版を4月の「Windows 10」月例アップデートで削除へ
IT関連
2021-02-08 16:11
Facebook、メタバース「Horizon Workrooms」のβ版公開 「Oculus Quest 2」で世界中から参加可能
アプリ・Web
2021-08-21 05:46
不正アクセスでペイメントアプリ改ざん 「柿安オンラインショップ」カード情報集出、不正利用も
セキュリティ
2021-01-21 00:14
さらに成長するインドのeコマースを動画やクリエイターの力でサポートするSimsimをYouTubeが買収
ネットサービス
2021-07-22 03:27