VMware Workspace ONE AccessとVMware Identity Managerに関係する重大な脆弱性により、悪意のある攻撃者が、サーバサイド・テンプレート・インジェクションを起動する任意のコードをリモート実行できるようになる。VMwareによると、この脆弱性は実際に悪用されている(actively exploied)ということだ。
CVE-2022-22954というアドバイザリが付与されたこの脆弱性は、VMware Workspace ONE AccessとVMware Identity Managerの一部のバージョンに影響するもので、VMwareからはすでにパッチが提供されている。
さらにVMwareは、一時的な解決策として利用可能な回避策についても述べている。ただし、この回避策は、対象となるプロダクトの機能に影響する可能性がある。
ファイアウォールを使用してカスタマ環境をコントロールするなどの代替策に関しても、VMwareは、その可能性を排除していないが、適用する手段についての判断はユーザに任せている。
ユーザの環境はさまざまで、リスクの許容度も異なる上に、リスク軽減のためのセキュリティコントロールや防御層の数も違うので、どのような進め方をするのかはユーザ自身で判断する必要があります。ただし、脆弱性の重要度を鑑みて、早急な対策の実施を強く推奨します。
脆弱性を最初に報告したのは、Qihoo 360 Vulnerability Research InstituteのSteven Seeley氏だ。
セキュリティ研究者のDaniel Card氏はTwitterで、この脆弱性が暗号マイナ(crypto miner)によって実際に悪用されており、ランサムウェア攻撃の新たな波となる可能性がある、と警鐘を鳴らしている。
VMware Workspace ONE AccesstとIdentity Manager RCEの脆弱性に対するパッチに加えて、VMwareでは、VMware Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、VMware Cloud Foundation、vRealize Suite Lifecycle Managerに影響する7つの脆弱性に対するパッチもリリースしている。