VMwareのID管理製品に最大深刻度「Critical」の致命的な脆弱性 ～早急な最新パッチの適用を

セキュリティアドバイザリ「VMSA-2022-0021」

　米VMwareは8月2日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0021」を公開し、同社のID管理製品「Workspace ONE Access」、「Identity Manager」、「vRealize Automation」等においてCVE番号ベースで合計10件の脆弱性が存在することを明らかにした。本脆弱性を修正した最新バージョンへのアップデート・回避策の実施など、早急な対応が推奨されている。

　同社のアドバイザリで発表された脆弱性は、以下の10件（括弧内は深刻度とCVSS v3のベーススコア）。いずれも外部より非公開で報告を受けたもので、全体の深刻度評価は「Critical」とされている。執筆現在、悪用は確認されていない。

• CVE-2022-31656：認証バイパスの脆弱性（Critical/9.8）
• CVE-2022-31658：リモートでコードが実行されるJDBCインジェクションの脆弱性（Important/8.0）
• CVE-2022-31659：リモートでコードが実行されるSQLインジェクションの脆弱性（Important/8.0）
• CVE-2022-31660、CVE-2022-31661：ローカル特権昇格の脆弱性（Important/7.8）
• CVE-2022-31664：ローカル特権昇格の脆弱性（Important/7.8）
• CVE-2022-31665：リモートでコードが実行されるJDBCインジェクションの脆弱性（Important/7.6）
• CVE-2022-31657：URLインジェクションの脆弱性（Moderate/5.9）
• CVE-2022-31662：パストラバーサルの脆弱性（Moderate/5.3）
• CVE-2022-31663：クロスサイトスクリプティング (XSS) の脆弱性（Moderate/4.7）

　このうちもっとも深刻な脆弱性として評価されているのが「CVE-2022-31656」。ネットワークからアクセスしたUI上で認証のバイパスが可能となる脆弱性で、悪用された場合、攻撃者が認証を必要とせずに管理アクセス権を取得する恐れがある。同社はCVSS v3のベーススコアを「9.8」とし、深刻度は4段階中もっとも高い「Critical」とレーティング。最新パッチの適用を呼び掛けている。

　また、管理者としてネットワークアクセス権限を持つ攻撃者により、リモートでコードが実行される恐れがある「JDBCインジェクション」の脆弱性（CVE-2022-31658）や「SQLインジェクション」の脆弱性（CVE-2022-31659）にも注意が必要だ。こちらのCVSS v3ベーススコアはともに「8.0」で、深刻度は2番目に高い「Important」と評価されている。