VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
米サイバーセキュリティインフラストラクチャ安全保障局が、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。脆弱性の深刻度は10点中9.8点に及ぶ。
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は5月18日(現地時間)、米VMware製品に認証回避や権限昇格の脆弱(ぜいじゃく)性があるとして、政府・行政機関に対策を指示した。
脆弱性が見つかったのは「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」といった、クラウドや情報セキュリティに関連する製品。
認証回避の脆弱性(CVE-2022-22972)は、影響度を示すCVSS v3のベーススコアが10点中9.8点で深刻度は「Critical」という。これは2021年12月に見つかった「Apache Log4j」の脆弱性のCVSS v3ベーススコア10.0点に迫る高水準値。
この脆弱性を悪用されると、認証なしで管理者権限を奪われる可能性がある。権限昇格の脆弱性(CVE-2022-22973)も、CVSS v3ベーススコアが7.8点と深刻度が高い。いずれも修正パッチは公開済みで、アップデートにより脆弱性を修正できる。
CISAはこれらの脆弱性が政府・行政機関に多大なリスクをもたらすため、23日午後5時(米東部時間)までに脆弱性の修正を実行するか、できない場合はネットワークから削除するよう命じた。実行が難しい機関にはCISAが技術支援する。
関連記事
- 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - Skyが脆弱性発見者に報奨金、最大200万円 検証用環境の貸し出しも検討
Skyが、自社サービスの脆弱性を発見した人に最大200万円の報奨金を支払う新制度を始めた。脆弱性の指摘を社外からも受け付け、情報セキュリティの強化につなげる。 - 「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 - 富士通の“政府認定クラウド”に不正アクセス 認証情報など盗まれた可能性 ロードバランサーの脆弱性悪用
富士通クラウドテクノロジーズのクラウド基盤サービス「ニフクラ」「FJcloud-V」のロードバランサーが不正アクセスを受けた。一部ユーザーのデータや認証情報を盗まれる可能性があったが、クラウド基盤内部への侵入や情報の流出などは見つかっていない。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.