米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月18日(米国時間)、「Threat Actors Chaining Unpatched VMware Vulnerabilities for Full System Control|CISA」において、VMware製品の脆弱性「CVE-2022-22954」および「CVE-2022-22960」が悪用されていると伝えた。これら脆弱性を悪用されると攻撃者による遠隔からのコード実行やrootへの特権昇格が可能になるとされている。
影響を受けるとされるプロダクトは次のとおり。
- VMware Workspace ONE Access
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- VMware vRealize Suite Lifecycle Manager
VMwareは4月6日(米国時間)にこれら脆弱性に対応するアップデートを公開した(参考「VMwareの複数の製品に緊急の脆弱性、ただちにアップデートを | TECH+」)。
しかし、サイバー犯罪者はこの脆弱性情報が明らかになってから48時間以内にこれら脆弱性を悪用するためのエクスプロイトを開発しており、サイバー攻撃への積極的な悪用をスタートしたとされている。
VMwareや各国当局はこの脆弱性がアクティブに利用されているとして、繰り返し注意とアップデートの実施を呼びかけてきた(参考「VMware製品狙うサイバー攻撃が活発化している、確認とアップデートを | TECH+」「Google ChromeやVMwareのサイバー攻撃での活発な悪用を確認、更新を | TECH+」「VMware製品の脆弱性悪用確認、リスク高くただちにアップデートを | TECH+」)。
今回、CISAから発表されたアラートは、こうした警告の最新版となるもので、この脆弱性が依然として悪用されていることを示している。該当するプロダクトを使用している場合はただちに情報を確認するとともに、該当する場合には迅速にアップデートを実施することが望まれる。