メディア

VMware Workspace ONE AssistにCVSSv3スコア9.8の脆弱性　直ちに対策を

VMwareのリモートサポートソリューション「VMware Workspace ONE Assist」にCVSSv3スコア9.8に該当する複数の脆弱性が見つかった。これらを悪用されると影響を受けたシステムの制御権を乗っ取られる可能性があるため注意してほしい。

» 2022年11月14日 07時00分公開

[後藤大地，有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　VMwareは2022年11月8日（現地時間）、同社のブログでリモートサポートソリューション「VMware Workspace ONE Assist」に複数の脆弱（ぜいじゃく）性が存在すると発表した。

　これらの中には、CVSSv3スコア9.8に該当する「緊急」（Critical）の脆弱性が複数含まれている。該当製品を使用している場合、直ちに情報を確認するとともに迅速なアップデートの適用が求められる。

VMwareは、VMware Workspace ONE Assistにおける複数の脆弱性を伝えた（出典：VMwareのWebサイト）

CVSSv3スコア9.8の脆弱性の詳細は？

　脆弱性の影響を受けるバージョンは以下の通りだ。

　脆弱性修正済みのバージョンは以下の通りだ。

　アップデートで修正対象となっている主な脆弱性は以下の通りだ。

CVE-2022-31685：認証バイパスの脆弱性。VMware Workspace ONE Assistにネットワーク的にアクセス可能なサイバー攻撃者によって認証なしに管理者権限が取得される。CVSSv3スコア9.8で深刻度「緊急」（Critical）と評価されている
CVE-2022-31686：不適切な認証方法に関する脆弱性。VMware Workspace ONE Assistにネットワーク的にアクセス可能なサイバー攻撃者によって認証なしにアプリケーションへの管理者アクセスが取得される。CVSSv3スコア9.8で深刻度「緊急」（Critical）と評価されている
CVE-2022-31687：不適切なアクセス制御に関する脆弱性。VMware Workspace ONE Assistにネットワーク的にアクセス可能なサイバー攻撃者によって認証なしにアプリケーションへの管理者アクセスが取得される。CVSSv3スコア9.8で深刻度「緊急」（Critical）と評価されている
CVE-2022-31688：反射型クロスサイトスクリプティングの脆弱性。CVSSv3スコア6.4で深刻度「中程度」（Moderate）と評価されている
CVE-2022-31689：セッション固定の脆弱性。CVSSv3スコア4.2で深刻度「中程度」（Moderate）と評価されている

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はこれらの脆弱性について、「VMware Releases Security Updates | CISA」で注意喚起している。該当製品を使用している場合は、直ちに対処してほしい。

Microsoftが11月の累積更新プログラムを配信　悪用確認済みの脆弱性に対処
Microsoftは2022年11月の累積更新プログラムを配信した。今回のアップデートで修正対象となった脆弱性の中には既に悪用されているものも含まれており、直ちにアップデートを適用することが求められる。
Samsungデバイスのユーザーは要確認を　「既知の悪用された脆弱性カタログ」に7件が追加
既知の悪用された脆弱性カタログに7件の脆弱性が追加された。脆弱性が含まれる製品の中にはSamsungのモバイルデバイスなどもある。詳細を確認の上、迅速に対応してほしい。
大阪急性期・総合医療センターへのランサムウェア攻撃、給食委託事業者通じて侵入か
大阪急性期・総合医療センターが会見を開き、ランサムウェア攻撃による電子カルテシステムの障害について続報を発表した。同会見でランサムウェアの侵入経路と病院基幹システムの復旧めどが明らかになった。
Emotetが日本での活動を再開　警告回避に向けた新たな手法を確認
JPCERT/CCは2022年11月2日に、Emotetの感染を促す電子メールを日本で確認したと発表した。電子メールの添付ファイルでマクロを有効化させるための新たな攻撃手法も確認したと報告している。