Trusted Design

CVE-2022-22960 の詳細

CVEの情報

説明:
VMware Workspace ONE Access, Identity Manager and vRealize Automation contain a privilege escalation vulnerability due to improper permissions in support scripts. A malicious actor with local access can escalate privileges to 'root'.

CVE更新日: 2022-04-13 18:15:13.510000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2022-04-15

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.724910000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2022-22960は、VMware製品における特権昇格の脆弱性です。

1. 脆弱性の概要

CVE-2022-22960は、VMware Workspace ONE Access、Identity Manager、およびvRealize Automation製品に存在する特権昇格の脆弱性です。この脆弱性は、サポートスクリプトにおける不適切な権限設定に起因します。ローカルアクセスを持つ悪意のある攻撃者が、影響を受けるシステム上で「root」権限に昇格することが可能です。

1.1 影響

ローカル攻撃者は、影響を受けるVMwareアプライアンスを完全に制御するために、root権限に昇格することができます。 また、この脆弱性はCVE-2022-22954(リモートコード実行の脆弱性)と組み合わせて悪用されることが確認されており、ログの消去、権限昇格、他のシステムへのラテラルムーブメントを含む完全なシステム制御につながる可能性があります。 機密性、完全性、可用性のすべてに高い影響を与える可能性があります。

1.2 深刻度

  • CVSS v3.1 スコア: 7.8 (High)
  • CVSS v2 スコア: 7.2 (High)

この脆弱性は、CISAの既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に追加されており、実際に悪用が確認されています。

2. 対象となる環境

以下のVMware製品が影響を受けます。 * VMware Workspace ONE Access * VMware Identity Manager (vIDM) * VMware vRealize Automation (vRA) * VMware Cloud Foundation * VMware vRealize Suite Lifecycle Manager

2.1 影響を受けるOSバージョン

この脆弱性は、基盤となるOSバージョンではなく、VMware製品の特定のバージョンに影響します。 * VMware Workspace ONE Access: 20.10.0.0, 20.10.0.1, 21.08.0.0, 21.08.0.1 * VMware Identity Manager: 3.3.3, 3.3.4, 3.3.5, 3.3.6 * VMware vRealize Automation: 7.6 および 8.0から9.0未満のバージョン * VMware Cloud Foundation: 3.0から5.0未満のバージョン * VMware vRealize Suite Lifecycle Manager: 8.0から9.0未満のバージョン

2.2 影響を受ける設定

影響を受けるVMware製品内のサポートスクリプトの不適切な権限割り当てに脆弱性の原因があります。診断およびメンテナンス操作を意図したこれらのスクリプトは、過度に寛容なファイル権限で構成されています。 VMware製品のデフォルトユーザーである「horizon」ユーザーが、いくつかのsudoコマンドにアクセスでき、その中には上書き可能なパスを含むものがあります。 この脆弱性は、CWE-732 (Incorrect Permission Assignment for Critical Resource) または CWE-269 (Improper Privilege Management) に分類されます。

3. 影響を受けた時の兆候

  • 低権限のユーザーがrootアクセスを取得したことを示すログの存在。
  • CVE-2022-22954との連鎖攻撃の場合、リモートコード実行後に特権昇格が行われた兆候が見られる可能性があります。
  • Dingo J-spyなどのポストエクスプロイトツールが展開されている形跡。
  • CISAは、2022年4月12日頃に展開された悪意のあるBashスクリプトを確認しており、これはCVE-2022-22960を悪用してHorizonユーザーが特権を昇格し、スーパーユーザー(sudo)としてコマンドを実行することを可能にします。このスクリプトは、ネットワーク情報やその他のデータを収集し、publishCaCert.hznスクリプトを上書きしていました。
  • 攻撃者がrootアクセス権を獲得した場合、ログの消去、権限の昇格、他のシステムへの横方向の移動が行われる可能性があります。

4. 推奨対策

4.1 本対策

  • ベンダーの指示に従って速やかにアップデートを適用してください。 VMwareはこれらの脆弱性に対処するためのアップデートをリリースしています。
  • CISAのBinding Operational Directive (BOD) 22-01は、影響を受けるすべてのソフトウェアで利用可能なアップデートがある場合、VMwareの脆弱性を完全に修正することを連邦政府機関に義務付けています。

4.2 暫定回避策(緩和策)

  • 不明。現時点では、ベンダー提供のパッチ適用が最も推奨される対策であり、具体的な暫定回避策は詳細に記載されていません。

その他に解説すべき観点

  • CISA Known Exploited Vulnerabilities Catalogへの追加: この脆弱性は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用された脆弱性カタログに掲載されており、実際の攻撃で積極的に悪用されていることを意味します。 これは、この脆弱性への対応が非常に緊急性が高いことを示しています。
  • 連鎖攻撃の可能性: CVE-2022-22960は、CVE-2022-22954(サーバーサイドテンプレートインジェクションによるリモートコード実行の脆弱性)と組み合わせて悪用されることが確認されています。攻撃者はまずCVE-2022-22954を悪用して任意のシェルコマンドを実行し、その後CVE-2022-22960を利用して特権をrootに昇格させ、完全なシステム制御を確立する可能性があります。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る