2025/03/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに、以下の脆弱性を登録した。
- CVE-2024-50302:Linux カーネルでの初期化されていないリソース使用
- CVE-2025-22225:VMware ESXi の任意の書き込みの脆弱性
- CVE-2025-22224:VMware ESXi/Workstation の TOCTOU 競合状態
- CVE-2025-22226:VMware ESXi/Workstation/Fusion の情報漏洩
1つ目の脆弱性 CVE-2024-50302 (CVSS:5.5) は、Google Android の 2025年3月のセキュリティ・アップデートにより対処されている。この脆弱性は、Linux カーネルの脆弱性であり、アロケーション時に HID レポート・バッファをゼロ初期化することで、カーネル・メモリ・リークの可能性が防止されている。
上記の脆弱性を悪用する攻撃の詳細を Google は公開したが、2024年には Security Lab が、Cellebrite のゼロデイ・エクスプロイト・チェーンの証拠を業界パートナーに提供し、それを認めるかたちで Google は3つの脆弱性を特定した。それらの中で、脆弱性 CVE-2024-53104 は、Android の 2025年2月のアップデートで修正された。しかし、脆弱性 CVE-2024-53197/CVE-2024-50302 (CVSS:5.5) は、Linux カーネルでは修正されたが、現時点では Android には反映されていない。
Amnesty International は、脆弱性 CVE-2024-50302 について、Cellebrite のモバイル・フォレンジック・ツールにより Android のロック解除が行われ、セルビアの学生活動家が被害にあった可能性が高いことを明らかにした。
その一方で、今週には Broadcom 傘下の VMware が、実際に悪用されている ESX の3ゼロデイ脆弱性に対処する、セキュリティ更新プログラムをリリースした。
それらの脆弱性 CVE-2025-22224/CVE-2025-22225/CVE-2025-22226 は、VMware ESXi/vSphere/Workstation/Fusion/Cloud Foundation/Telco Cloud Platform などの、VMware ESX 製品郡に影響を及ぼすものだ。
一連の脆弱性を発見したのは、Microsoft Threat Intelligence Center の研究者たちである。特権管理者またはルート・アクセスを持つ攻撃者は、一連の脆弱性を連鎖させて、仮想マシン内のサンドボックスを回避できるという。
<中略>
拘束力のある運用指令 BOD 22-01:米政府の FCEB 機関は、これらの脆弱性を悪用する攻撃からネットワークを保護するために、期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年3月25日までに一連の脆弱性を修正するよう命じている。
なお、専門家たちが民間組織に推奨するのは、KEV カタログを確認し、インフラの脆弱性に対処することだ。
Linux kernel と VMware ESXi の脆弱性が、CISA KEV に登録されました。VMware の3つの脆弱性に関しては、2025/03/03 の「VMware ESXi/Workstation/Fusion の脆弱性 CVE-2025-22224/22225/22226 が FIX:悪用を観測」で、詳細をご確認ください。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.