VMware の Workspace ONE Access における深刻な脆弱性が FIX

VMware Patches Five Critical Vulnerabilities in Workspace ONE Access

2022/04/07 SecurityWeek — 水曜日に VMware は、Workspace ONE Access などの製品群に影響を及ぼす、複数の深刻な脆弱性に対するパッチを発表した。同社のアドバイザリでは、合計で8つのセキュリティ・ホールの詳細が説明され、VMware Workspace ONE Access/Identity Manager (vIDM/ Workspace ONE Access) /vRealize Automation (vRA)/Cloud Foundation/Suite Lifecycle Manager に影響を与えるとされている。一連の問題のうち5件は、深刻度が Critical と評価されている。

1つ目のバグである脆弱性 CVE-2022-22954 (CVSS 9.8) は、Workspace ONE Access と Identity Manager の双方に影響を及ぼすリモートコード実行の脆弱性である。この問題は、「ネットワークにアクセスできる悪意のある行為者に、サーバー・サイドでテンプレート・インジェクションを許す可能性があり、その結果として、リモートコード実行にいたる」とされている。

VMwareは、Workspace ONE Access の OAuth2 ACS フレームワークに存在する、2つの認証バイパスの脆弱性に対するパッチも発表している。それらに関しては、「悪意の行為者に対して、認証フレームワークの公開エンドポイントでの任意の操作を許す可能性がある」としている。それらは、脆弱性 CVE-2022-22955/CVE-2022-22956 として追跡され、CVSS 値は 9.8 となっている。

今週に対処された別の2つの深刻な脆弱性としては、Workspace ONE Access/Identity Manager/vRealize Automation に影響する、CVE-2022-22957/CVE-2022-22958 があり、CVSS 値は 9.1 となっている。それらは、リモートコード実行の問題であるが、この2つのバグを悪用するには、管理者権限が必要となる。

VMware は、「管理者権限を持つ悪意のある行為者は、悪意の JDBC URI を介して、信頼できないデータのデシリアライズを引き起こし、リモートでコードを実行する可能性がある」と述べている。

VMware アドバイザリで詳述されている、他の2つのセキュリティ・バグ CVE-2022-22959/CVE-2022-22960 の深刻度は High であり、3つ目の CVE-2022-22961 は Medium と評価されている。

これらの脆弱性を発見したのは、Qihoo 360 Vulnerability Research Institute の Steven Seeley であるとされている。VMware は、Cloud Foundation/NSX-T/vRealize Suite/Cloud suites/vRealize Automation/vRealize Log Insight/vRealize Network Insight などの、Identity Manager コンポーネントを使用する全製品が脆弱だと警告している。

VMware は、影響を受ける可能性のある全顧客に対して、利用可能なパッチまたは回避策を、可能な限り早急に適用することを推奨している。

同社は「VMware Security Advisory に記載されているパッチをインストールするか、VMSA に記載されている回避策を適用してほしい」と述べている。また VMware は、現在のところ、これらの脆弱性が実際に悪用された形跡はないとしている。

さらに同社は、VMware Horizon Client for Linux に存在する、2つの脆弱性 CVE-2022-22962/CVE-2022-22964 (CVSS 7.3) に対するパッチも発表している。

VMware の一連の脆弱性ですが、お隣のキュレーション・チームに聞いたところ、いずれも 4月8日にサポートしたとのことでした。最近の VMware に関するポストですが、2022年3月30日の「VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している」や、4月4日の「VMware と Spring4Shell:RCE に対する複数のパッチが提供された」などがあります。よろしければ、VMware で検索も、ご利用ください。

%d bloggers like this: