VMware ESXi Vulnerability Exposes Thousands of Servers to Ransomware
2024/07/31 SecurityOnline — VMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 について、サイバー犯罪者による積極的な悪用が報じられ、主要なセキュリティ組織から警告が発せられている。しかし、その一方では、依然として数千台のサーバが、ランサムウェア攻撃に対して脆弱な状態を晒し続けている。Shadowserver は、20,275台もの ESXi インスタンスが、CVE-2024-37085 に対して脆弱であると特定している。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムの完全な制御が可能となり、壊滅的なランサムウェア攻撃や大規模なデータ窃取の可能性を手にする。
この脆弱性 CVE-2024-37085 を悪用する前提として、ターゲット・デバイス上での権限の昇格とユーザーとのインタラクションが必要になる。
Microsoft が警鐘を鳴らしているのは、すでに複数のランサムウェア・グループが、この欠陥を積極的に悪用して攻撃をエスカレートさせ、ターゲット・デバイスの完全な管理制御を獲得しているからだ。いったん侵害されると、これらの仮想化環境を足場とする、機密データの窃取/ネットワークへの侵入/重要なファイルを暗号化などが生じ、恐喝につながる可能性さえある。
企業のデータ・センターでは VMware ESXi が広く使われているため、この脆弱性による潜在的な被害が増幅している。攻撃者が侵入に成功すると、組織全体の業務が危険にさらされ、影響を受けるハイパーバイザー上でホストされている、多数の仮想マシンのセキュリティが損なわれる可能性がある。
すでに Broadcom は、CVE-2024-37085 に対するパッチをリリースしており、このパッチを直ちに適用するよう、ユーザー組織に強く求めている。すぐにパッチが適用できない環境については、ローカル・ユーザー・アカウントを無効化し、Active Directory の権限を調整する緩和策が、VMware から公開されている。
また、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、この欠陥を悪用したランサムウェア攻撃が続いていることから、CVE-2024-37085 を KEV カタログに追加し、米国連邦政府民間行政機関 (Federal Civilian Executive Branch) に対して、この脆弱性に緊急に対処するよう求めている。
Shadowserver の調査によると、CVE-2024-37085 に対して脆弱なインスタンスが。世界中で特定されており、多い国から並べると、フランス (3,000件)/米国 (2,279件)/ドイツ (2,022件) であることが判明した。同組織の調査結果が強調するのは、影響を受ける事業者において、システムを迅速に保護することの重要性である。
Shadowserver は、「CVE-2024-37085 に対して脆弱な、20,275台もの ESXi インスタンスを特定した。ただし、リモートで特定されたのは、パッチ・ステータスを反映したバージョン情報だけである。回避策は検出されておらず、悪用の可能性については、他の前提条件 (ドメインに参加している ESXi ハイパーバイザー) が存在するかどうかも確認されていない」と X に投稿している。
VMware ESXi に依存している組織は、ランサムウェア攻撃の脅威の増大から仮想化環境を保護するために、この脆弱性にパッチを直ちに適用し、強固なセキュリティ対策を実施する必要がある。
VMware に関連する攻撃が多発していますが、このブログの中で印象に残っているのは、2024/05/25 の「MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避」です。このときの侵入経路は Ivanti ですが、そこからの横移動で VMware が侵害されていきました。このインフラを攻撃する手口が、多様化し巧妙化しているところが気になります。VMware ESXi の脆弱性 CVE-2024-37085 については、以下を ご参照ください。
2024/07/30:CISA KEV:VMware ESXi の CVE-2024-37085 を登録
2024/07/29:VMware ESXi と認証バイパス:CVE-2024-37085 の悪用
IoT OT Security News 
You must be logged in to post a comment.