Over 37,000 VMware ESXi servers vulnerable to ongoing attacks
2025/03/06 BleepingComputer — VMware ESXi の脆弱性 CVE-2025-22224 の影響が懸念されているが、37,000 台以上のインスタンスがインターネットに公開されているという現実がある。この深刻な境界外書き込みの脆弱性は、実際に悪用されている。
この大規模な公開インスタンスは、脅威監視プラットフォーム Shadowserver Foundation から報告されたものであり、昨日である 3月5日の時点では、約 41,500 台だったという。
3月6日の ShadowServer の報告によると、依然として 37,000台が脆弱であるが、昨日には 4,500 台のデバイスにパッチが適用されたことを示している。
深刻な VCMI ヒープ・オーバーフローに起因する、脆弱性 CVE-2025-22224 の悪用に成功した VM ゲスト管理者権限を持つローカル攻撃者は、サンドボックス・エスケープを達成した後に、VMX プロセスとしてホスト上でのコード実行の可能性を手にする。
2025年3月4日 (火) の時点で Broadcom/VMware は、この脆弱性と他の脆弱性 CVE-2025-22225/ CVE-2025-22226 について顧客に警告し、すべてがゼロデイ攻撃として悪用されていると通知した。
この問題を発見/報告した Microsoft の Threat Intelligence Center は、一連の脆弱性が未公開だった期間において、ゼロデイ攻撃として悪用されたことを観察している。ただし、攻撃の詳細や対象に関する情報は、現時点で公開されていない。
なお、米国 Cybersecurity & Infrastructure Security Agency (CISA) は、連邦政府機関/州政府機関に対して、2025年3 月25日までに更新プログラムと緩和策の適用を求め、それが不可能な場合には、VMware ESXi の使用を中止するよう求めている。
Shadowserver Foundation の報告による、脆弱なインスタンスの分布は、中国 4,400/フランス 4,100/米国 3,800/ドイツ 2,800/イラン 2,800/ブラジル 2,200 の順となっている。
この VMware ESXi は、企業の IT 環境において、仮想マシン管理の仮想化に使用される人気のハイパーバイザーであり、広範に利用されているため、その影響は世界中に及ぶ。
脆弱性 CVE-2025-22224 を修正する、ESXi バージョンの詳細については、Broadcom のセキュリティ情報の確認が推奨される。また、現時点において、この脆弱性に対応する回避策は存在しない。
Broadcom/VMware は、影響の詳細および推奨される追加のアクションについて、ユーザーと共有するための FAQ ページも公開している。
この脆弱性はゼロデイ攻撃としての悪用が確認されており、CISA KEV に登録されています。ご利用のチームは、十分にご注意下さい。この脆弱性に関する第一報は、2025/03/03 の「VMware ESXi/Workstation/Fusion の脆弱性 CVE-2025-22224/22225/22226 が FIX:悪用を観測」です。また、CISA KEV の詳細については、2025/03/05 の「CISA KEV 警告 25/03/04:Linux kernel と VMware ESXi の4件の脆弱性を登録」に記載されていますので、よろしければ、VMware で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.