TOP > セキュリティ > 米サイバーセキュリティー当局、VMwareの新たな脆弱性2件...
関連カテゴリー: アプリ/OS
米サイバーセキュリティー当局、VMwareの新たな脆弱性2件で緊急指令、早急な対策を指示
2022/05/23
米国土安全保障省のサイバーセキュリティー・インフラストラクチャ・セキュリティー庁(CISA)は5月18日、米VMwareの製品で新たに見つかった脆弱性2件「CVE-2022-22972」「CVE-2022-22973」について、連邦政府機関に対策を命じる緊急指令を出した。対象製品は「Workspace ONE Access」「Identity Manager」「vRealize Automation」「Cloud Foundation」「vRealize Suite Lifecycle Manager」。2022年4月発表の脆弱性2件「CVE-2022-22954」「CVE-2022-22960」と合わせて、サイバー攻撃のリスクの軽減策を直ちに講じるよう求めている。
攻撃で直ちに悪用の恐れ

新たな脆弱性2件については、VMwareが22年5月18日に情報と更新プログラムを公開した。22年4月の2件と同様、サイバー攻撃で直ちに悪用される恐れがあるとして、CISAは注意を促している。一連の脆弱性で起こり得る攻撃は、サーバーサイドのテンプレートインジェクションによるリモートコード実行(CVE-2022-22954)や、root権限への昇格(CVE-2022-22960とCVE-2022-22973)、認証なしでの管理者アクセス権の取得(CVE-2022-22972)。
CISAは一連の脆弱性について、許容できない水準のリスクを連邦政府機関にもたらすとの判断のもとで、緊急の対策を求めている。その根拠としては、22年4月に発表された2件の脆弱性を利用した攻撃が実際に確認されていることや、今回の2件も今後利用される可能性が高いこと、該当するソフトウエアが連邦機関で広く利用されていること、連邦機関の情報システムは攻撃の標的になりやすいことを挙げている。