VMware の認証バイパスの脆弱性 CVE-2022-31656:PoC エクスプロイトが公開

VMware warns of public exploit for critical auth bypass vulnerability

2022/08/09 BleepingComputer — VMware 製品群に存在し、攻撃者に管理者権限の取得を許してしまう、認証バイパスに関する深刻な脆弱性について、PoC エクスプロイト・コードがオンラインで一般公開されていることが判明した。先週に VMware は、VMware Workspace ONE Access/Identity Manager/vRealize Automation に影響をおよぼす、この脆弱性 CVE-2022-31656 に対してアップデートをリリースした。


その他にも、リモートの攻撃者にリモート・コード実行を可能にする、深刻度の高い SQL インジェクションの脆弱性 CVE-2022-31659 などの、複数の脆弱性が同日付で修正されている。

今日になって VMware は、「脆弱性 CVE-2022-31656/CVE-2022-31659 を悪用するための、PoC エクスプロイト・コードが公開されているのを確認した」と、アドバイザリ情報を更新している。

この脆弱性を発見/報告した、VNG Security のセキュリティ研究者である Petrus Viet は、この脆弱性の概念実証 (PoC) エクスプロイトと詳細な技術解析を、今日に公開した。同氏は、先週の段階で、CVE-2022-22972 の PoC が今週中に公開されると発表していた。

野放し状態での悪用はまだ確認されていない

先週に、VMware の Cloud Infrastructure Security & Compliance Architect である Bob Plankers は、「オンプレミスのデプロイメントにおいて、これらの脆弱性のパッチ適用やワークアラウンドの、迅速な実施が極めて重要になる。ユーザーが変更管理のために ITIL 手法を使用している場合でも、これは緊急の変更とみなされるだろう」と警告している。幸いなことに、VMware は別のアドバイザリで、これらの深刻な脆弱性が攻撃に悪用されているという証拠はないとしている。

同社は、ナレッジベースの Web サイトで、パッチのダウンロード・リンクと、詳細なインストール手順を提供している。また、脆弱なアプライアンスに対して、直ちにパッチを適用できないユーザーに対しては、プロビジョニングされた管理者1名を除いて、その他の全てのユーザー・アカウントを無効にするという、一時的な回避策も共有している。

VMware Server は魅力的なターゲットであり、近い将来、脅威者たちは、攻撃に使用する独自のエクスプロイトを開発すると考えられている。そのため、脆弱な全てのデバイスについては、迅速なアップデートもしくは、オフライン化が必要となる。これを怠ると、最終的に、ネットワークの侵害/ランサムウェアの展開/データの盗難などの、より重大な攻撃につながる可能性がある。

2022年5月に VMwareは、Innotec Security の Bruno López が発見し、Viet が脆弱性 CVE-2022-31656 の研究中にインスピレーションとして利用した、ほぼ同じ内容の認証バイパスの脆弱性 CVE-2022-22972 にパッチを適用している。

VMware が、かなり焦っているように感じられます。8月2日に「VMware 製品群に影響をおよぼす複数の脆弱性 CVE-2022-31656 などが FIX」という記事をポストしていますので、そちらも、ご参照ください。最近の VMware ですが、5月24日の「VMware の認証バイパスの脆弱性 CVE-2022-22972:PoC エクスプロイトの前にパッチ適用を」や、6月12日の「VMware vCenter Server の脆弱性 CVE-2021-22048:公開から8ヶ月で FIX」のように、深刻な事態に見舞われ続けています。頑張って欲しいですね。

%d bloggers like this: