ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示

» 2022年05月19日 18時00分 公開
[谷井将人ITmedia]

 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は5月18日(現地時間)、米VMware製品に認証回避や権限昇格の脆弱(ぜいじゃく)性があるとして、政府・行政機関に対策を指示した。

photo CISAの指令

 脆弱性が見つかったのは「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」といった、クラウドや情報セキュリティに関連する製品。

 認証回避の脆弱性(CVE-2022-22972)は、影響度を示すCVSS v3のベーススコアが10点中9.8点で深刻度は「Critical」という。これは2021年12月に見つかった「Apache Log4j」の脆弱性のCVSS v3ベーススコア10.0点に迫る高水準値。

 この脆弱性を悪用されると、認証なしで管理者権限を奪われる可能性がある。権限昇格の脆弱性(CVE-2022-22973)も、CVSS v3ベーススコアが7.8点と深刻度が高い。いずれも修正パッチは公開済みで、アップデートにより脆弱性を修正できる。

photo 詳細はVMwareの脆弱性情報ページで公開

 CISAはこれらの脆弱性が政府・行政機関に多大なリスクをもたらすため、23日午後5時(米東部時間)までに脆弱性の修正を実行するか、できない場合はネットワークから削除するよう命じた。実行が難しい機関にはCISAが技術支援する。

Copyright © ITmedia, Inc. All Rights Reserved.