米 国土安全保障省の勧告:VMware の深刻な脆弱性2件に5日間で対応せよ!

DHS orders federal agencies to patch VMware bugs within 5 days

2022/05/18 BleepingComputer — 今日、国土安全保障省のサイバー・セキュリティ部門は、連邦民間行政機関 (FCEB) に対して、VMware 製品を標的とする攻撃のリスクが高まっているとして、5月23日の月曜日までに緊急にアップデートするか、ネットワークから削除するよう命じた。同じく今日、Cybersecurity and Infrastructure Security Agency (CISA) も、VMware の製品群に影響を及ぼす、認証バイパスとローカル権限昇格の脆弱性 CVE-2022-22972/CVE-2022-22973 がパッチ適用されたことを受けて、緊急指令 22-03 を発表した。

2022年4月にも VMware は、VMware Workspace ONE Access/VMware Identity Manager におけるリモートコード実行脆弱性が CVE-2022-22954 と、ルート権限昇格の脆弱性 CVE-2022-229600 に対して、パッチを適用している。

現時点では、今回の VMware バグは野放しでは悪用されていないが、4月のケースにおける攻撃者は、アップデートをリバースエンジニアリングし、48時間以内に悪用を開始し、バックドアをインストールした後にコインマイナーを展開していた。これら4つのセキュリティ・バグの影響を受ける、VMware 製品の全リストは以下の通りである。

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

VMware は、上記の4つのセキュリティ欠陥の全てについて、「直ちにパッチを適用するか、緩和する必要がある」と述べ、その影響は深刻だと付け加えている。

CISA Emergency Directive 22-03

各省庁は 5月23日の月曜日までにパッチ適用か遮断を命じられる

CISA は、これら全ての脆弱性が、連邦政府機関にとって受け入れがたいリスクをもたらすと判断し、5月23日までにCVE-2022-22972/CVE-2022-22973 に対するパッチ適用を緊急措置として命じた。

CISA は、「この決定は、脅威アクターによる CVE-2022-22954/CVE-2022-22960 の野放しでの悪用が確認されたこと、CVE-2022-22972/CVE-2022-22973 も同様に悪用される可能性があること、影響を受けるソフトウェアが連邦政府機関に普及していること、そして、機関の情報システムを侵害する可能性が高いという判断に基づいている」と述べている。

CISA の推測は、同じ影響を受ける VMware 製品における、新たな脆弱性を悪用する能力を、脅威アクターが迅速に発揮するというものだ。この新しい緊急指令によると、すべての連邦民間機関は、東部標準時間の月曜日 (2022年5月23日) の午後5時までに、以下の行動を取る必要がある。

  1. ネットワーク上で影響を受ける全ての VMware 製品を見つけ出し、アップデートを導入するか、パッチが適用できるまでネットワークから遮断する。
  2. インターネットに公開されている、影響を受けるすべての VMware 製品について、侵害を想定し、脅威ハント活動を行い、異常があれば CISA に報告する。

    2022年5月24日 (火) 午後12時 (東部標準時) までに、すべての機関は Cyberscope を使用して、ネットワーク上で見つかった全ての VMware インスタンスの状態を報告する必要がある。CISA は、「この緊急指令は、影響を受けるソフトウェアを運用する全ての機関が、本指令で要求される全ての措置を実行したと CISA が判断するまで、または他の適切な措置により指令が終了するまで有効である」と付け加えている。

同じく 5月18日の「VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう」に記されているように、CVE-2022-22972 と CVE-2022-22973 は、深刻な影響を及ぼしかねない脆弱性のようです。さらにいえば、文中にもあるように、最近の VMware の脆弱性は、悪用開始までの時間が極めて短くなってきています。そのような背景もあり、米 国土安全保障省 (Department of Homeland Security) としては、緊急の対応を要求しているのでしょう。それにしても、5日間というのはすごい話ですね。

%d bloggers like this: