SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Workspace ONE Access ~ 認証及びローカル特権昇格の脆弱性について (VMSA-2022-0014)~

仮想化
2022.05.23

※本ブログ記事は「2022523日」時点で確認した情報で作成しています。最新の情報は、VMware Security Advisoriesなどでご確認ください。

こんにちは。SB C&Sの石井です。
VMware製品のプリセールスSEチームに所属しています。

今回は、2022年5月18日にVMwareよりアナウンスされた、Workspace ONE Accessで発生している脆弱性(VMSA-2022-0014)について紹介させていただきます。Workspace ONE Accessを含めた5つの製品スイートで、認証や権限昇格の脆弱性が公開されております。

 

脆弱性について

現在、VMware製品の脆弱性として下記の2点が公開されています。

  • 認証バイパスの脆弱性(CVE-2022-22972
    セキュリティの脆弱性の深刻さを評価するCVSSv3のスコアは9.8と評価され、致命的な脆弱性であると判断されています。
  • ローカル特権昇格の脆弱性(CVE-2022-22973
    セキュリティの脆弱性の深刻さを評価するCVSSv3のスコアは7.8と評価され、重要な脆弱性であると判断されています。

また、VMwareは上記の2点の脆弱性のクラスを4段階中、1番高い重大な脆弱性であると判断しています。

脆弱性対象となる環境をご利用の場合、認証を実行せずに管理アクセスをされたり、悪意のあるユーザーが [root] 権限に昇格される可能性があります。

詳細はVMware Security Advisoriesをご確認ください。
https://www.vmware.com/security/advisories/VMSA-2022-0014.html

 

影響を受ける製品スイート

  • VMware Workspace ONE Access
    バージョン(21.08.0.0、21.08.0.1、20.10.0.0、20.10.0.1)
  • VMware Identity Manager
    バージョン(3.3.3、3.3.4、3.3.5、3.3.6)
  • VMware vRealize Automation
    バージョン(7.6)
  • VMware Cloud FoundationvIDM
    バージョン(4.0.X、4.1.X、4.2.X、4.3.X)
  • VMware Cloud (vRA)
    バージョン(3.X)
  • vRealize Suite Lifecycle Manager
    バージョン(8.X)

 

解決策

まず、Workspace ONE AccessのSaaS環境を利用している場合は、管理コンソールにログインし、画面上部の緑色の通知から情報を確認してください。

図1.png



例えば、当社検証環境で確認した上記の画面キャプチャでは以下のメッセージが記載されており、この環境はVMSA-2022-0014で開示された脆弱性の対象ではなく、SaaS利用者側で脆弱性に対する対応が不要なことを確認できました。

On May 18, 2022, VMware disclosed CVE-2022-22972, CVE-2022-22973 in VMSA-2022-0014 which details multiple vulnerabilities in Workspace One Access. These vulnerabilities are not applicable to the VMware managed components of your SaaS environment and no action is necessary.

 

オンプレミスでWorkspace ONE Accessを展開して利用している場合は、パッチを適用する必要があります。また、何らかの理由によりパッチの適用ができない場合は、ワークアラウンドによる一時的な回避策が公開されています。

それぞれの対応方法は、以下のVMwareKBKnowledge Base)をご参照ください。

 

参考情報

VMware Security AdvisoriesVMSA-2022-0014
https://www.vmware.com/security/advisories/VMSA-2022-0014.html

VMware Tech Zone VMSA-2022-0014:Questions & Answers
https://core.vmware.com/vmsa-2022-0014-questions-answers-faq

VMware Security Blog VMSA-2022-0014: What You Need to Know
https://blogs.vmware.com/security/2022/05/vmsa-2022-0014-what-you-need-to-know.html

VMware KB CVE-2022-22972CVE-2022-22973の対応パッチ手順
https://kb.vmware.com/s/article/88438

VMware KB CVE-2022-22972に対処するための回避策
https://kb.vmware.com/s/article/88433

 

現在発生している脆弱性は緊急度が高く、問題が発生した際の影響も大きい脆弱性となっております。Workspace ONE AccessSaaS環境を利用している場合は、まず管理コンソールにログイン頂き通知メッセージの確認をしてください。Workspace ONE Accessのオンプレミス版を利用されている方は、いち早く対応することをおすすめ致します。

SB C&S が提案する仮想化ソリューションについての情報はこちら

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第1技術部 1課
石井 基久 - Motohisa Ishii -