米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月3日(米国時間)、「VMware Releases Security Updates|CISA」において、VMwareの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • VMSA-2022-0021 - VMware Workspace ONE Access、Access Connector、Identity Manager、Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities

    VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities

脆弱性が存在するとされるプロダクトは次のとおり。

  • VMware Workspace ONE Access (Access)
  • VMware Workspace ONE Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

今回のセキュリティアドバイザリでは、CVE-2022-31656、CVE-2022-31657、CVE-2022-31658、CVE-2022-31659、CVE-2022-31660、CVE-2022-31661、CVE-2022-31662、CVE-2022-31663、CVE-2022-31664、CVE-2022-31665が修正対象となっている。主な脆弱性の内容は次のとおり。

  • 認証バイパス
  • JDBCインジェクションリモートコード実行
  • SQLインジェクションリモートコード実行
  • URLインジェクション
  • ローカル特権昇格
  • パストラバーサル
  • クロスサイトスクリプティング

脆弱性の一部は深刻度が緊急(Critical)に分類されており注意が必要。今回修正対象となっているプロダクトは以前明らかになった脆弱性が広範囲にわたって悪用されているとして繰り返しアップデートが呼びかけられている。こうした状況の中、さらに新しい脆弱性が発見されたことになる。