VMware の認証バイパスの脆弱性 CVE-2022-22972:PoC エクスプロイトの前にパッチ適用を

Researchers to release exploit for new VMware auth bypass, patch now

2022/05/24 BleepingComputer — VMware の複数の製品に存在する、認証なしで管理者権限へのアクセスが可能になる脆弱性に対して、PoC エクスプロイトが公開されようとしている。この脆弱性 CVE-2022-22972 については、先週の水曜日に修正が行われており、速やかなパッチ適用、もしくは、緩和策の適用が、緊急警告として管理者たちに伝えられている。

PoC を公開予定

VMware は5月18日のアドバイザリで、「脆弱性 CVE-2022-22972 (CVSS:9.8) を未パッチで放置することで、セキュリティ上の深刻な影響が生じる」と警告している。この欠陥は、VMware Workspace ONE Access/Identity Manager/vRealize Automation に影響を及ぼす。同社は、アプライアンスのインターフェースにアクセスできる攻撃者は、それを悪用して認証を回避し、ローカルドメインのユーザーにアクセスできると警告している。

今日、攻撃領域評価会社である Horizon3 のセキュリティ研究者たちは、CVE-2022-22972 に対する実用的な PoC エクスプロイトの作成に成功し、近日中に技術レポートを発表する予定であると発表した。


現時点では、技術的な詳細は公表されていないが、攻撃経路を示すエクスプロイト・コードの公開が計画されている。

Horizon3 の攻撃チームは、Web ログイン・インターフェースから認証を回避し、VMware Workspace ONE インスタンスにアクセスしたことを示すスクリーン・ショットを公開し、今後の展開について予告している。

Researchers create exploit for VMware vulnerability CVE-2022-22972
source: Horizon3 Attack Team

VMware Workspace ONE を活用することで、企業ユーザーのデバイスとアプリケーション (個人所有または会社所有) をデジタル環境に統合して管理できるようになる。また、このプラットフォームは、ユーザーが企業リソースへのユーザー・アクセスを、安全にするための制御を提供する。

VMware では、すべてのローカル・ユーザーと管理者を無効にして、プロビジョニングされたユーザーのみをアクティブにすることを推奨している。しかし、これはあくまで回避策であり、攻撃者が CVE-2022-22972 を悪用するリスクを完全に軽減するものではない。

VMware が CVE-2022-22972 の修正プログラムを公開したのと同じ日に、米国のCISA が緊急指令を発表したことで、この脆弱性の深刻さがさらに強調された。

現時点では、この脆弱性に関する悪用の情報は公開されていない。しかし、アップデートされた直後や、技術的な詳細が明らかになったときに、脅威アクターたちが素早く行動を起こし、直ちに脆弱性を悪用する傾向は、以前から示されている。

この4月には、VMware がパッチを適用した一連の深刻な脆弱性が、同社が警告を発し、修正プログラムを発表したわずか 48時間後に、暗号通貨マイニングやバックドアをインストールするために悪用され始めた。

以前にも Horizon3 は、F5 BIG-IP ネットワーク機器における。深刻なリモートコード実行の脆弱性 CVE-2022-1388 のエクスプロイトコードを公開している。研究者たちは、VMware の脆弱性に対するエクスプロイトへの対応と同様に、脆弱性のある F5 アプライアンスへのパッチ適用を、管理者に強く推奨している。

この、脆弱性 CVE-2022-22972 ですが、第一報は 5月18日の「VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう」であり、その直後には、米 国土安全保障省が連邦政府組織に対して、「VMware の深刻な脆弱性2件に5日間で対応せよ」と緊急指令を出しています。通常の CISA 悪用脆弱性リストでは、そこに追加された脆弱性への対応に、3週間の時間が与えられています。とくに VMware Workspace ONE は BYOD の要なので、さまざまな連邦政府組織の、さまざまな職員が、それに依存しているという背景があるのかもしれません。

%d bloggers like this: