VMware 製品群の２つの深刻な脆弱性が FIX：認証バイパスで root 取得を許してしまう

VMware Releases Patches for New Vulnerabilities Affecting Multiple Products

2022/05/18 TheHackerNews — VMware は、Workspace ONE Access／Identity Manager／vRealize Automation に関連する、２つの脆弱性修正するパッチを発表した。認証バイパスの脆弱性 CVE-2022-22972 (CVSS：9.8) は、ネットワーク経由で UI にアクセスできる脅威アクターに対して、事前の認証なしに root 権限取得を許してしまうものである。もう１つの、ローカル権限昇格の脆弱性 CVE-2022-22973 (CVSS : 7.8) は、ローカル・アクセスを持つ攻撃者に対して、脆弱な仮想アプライアンス上で root への権限昇格を許してしまうものである。

VMwareは、「オンプレミスのデプロイメントにおいて、これらの問題を修正または軽減するための措置を、迅速に講じることが極めて重要だ」と述べている。今回の公開は、５月の初めに修正された、VMware における別の２つの脆弱性 CVE-2022-22954／CVE-2022-22960 を、APT グループが個別に悪用および、組み合わせて悪用しているという、CISA の警告を受けたものである。

CISA は、「Web インターフェースにネットワーク・アクセスできる未認証の行為者は、CVE-2022-22954 を悪用することで、VMware のユーザーとして任意のシェルコマンドを実行していた。続いて、この行為者は、CVE-2022-22960 を悪用して、ユーザー権限を root に昇格させていた。この root アクセスにより、行為者はログの消去／権限の昇格／他のシステムへの横移動が可能になった」と述べている。

その上で CISA は、この脅威アクターは、少なくとも３つの組織に対して、Dingo J-spy web shell などのポスト・エクスプロイト・ツールを展開したと指摘している。
IT セキュリティ企業の Barracuda Networks は独自のレポートにおいて、これらの脆弱性が 4月6日に公になった直後に、野放し状態での偵察行為において、CVE-2022-22954／CVE-2022-22960 の悪用が観察されたと述べている。

攻撃者の IP については、の約 76% が米国から発信されており、そこに英国 (6%)／ロシア (6%)／オーストラリア (5%)／インド (2%)／デンマーク (1%)／フランス (1%) が続いているそうだ。

同社が観測した悪用の試みの中には、ボットネット運営者が関与しているものもあり、この脆弱性を悪用する脅威アクターたちは、マルウェア Mirai の分散型サービス拒否 (DDoS) 亜種を展開している。

この問題を受けて CISA は、それぞれの連邦民間行政機関 (FCEB) に対して、5月23日午後5時 (東部標準時) までにアップデートを適用するか、対象デバイスをネットワークから切り離すように促す、緊急指令を発出した。

CISA は、「前回の脆弱性の影響を受けた、同じ VMware 製品に生じた新たな脆弱性に関して、脅威アクターたちが直ちに悪用する能力を持つと推測される」と述べている。VMware Cloud Director 製品に生じた深刻な脆弱性 CVE-2022-22966 を解決するための、アップデートが配布されてから１カ月余りで、今回のパッチは配信されているが、これもリモートコード実行攻撃の武器となる可能性がある。

CISA は F5 BIG-IP の脆弱性 CVE-2022-1388 の積極的な悪用を警告する

非難を浴びているのは、VMware だけではない。CISA は、BIG-IP デバイスに影響を及ぼすリモートコード実行の脆弱性 CVE-2022-1388 CVSS：9.8）の活発な悪用に関しても、フォローアップ勧告を発表している。CISA は、「政府機関および民間企業のネットワークにおいて、パッチが適用されていない F5 BIG-IP デバイス (主に管理ポートまたは自己 IP が公開されている) の悪用が広まると予想している」と述べている。

VMware の、深刻な脆弱性が公開され続けています。最近だけでも、4月7日の「VMware の Workspace ONE Access における深刻な脆弱性が FIX」、4月13日の「VMware の脆弱性 CVE-2022-22954 が FIX：積極的な悪用が観察されている」、4月14日の「VMware Cloud Director の深刻な RCE 脆弱性 CVE-2022-22966 が FIX」、4月25日の「VMware の深刻な RCE 脆弱性 CVE-2022-22954：イランからのバックドア展開を検出」という具合であり、悪用のケースも目立っています。よろしければ、VMware で検索も、ご利用ください。