XenServer VM Tools for Windows Vulnerability Let Attackers Execute Arbitrary Code
2025/05/28 CyberSecurityNews — XenServer VM Tools for Windows に存在する、3つの深刻な脆弱性を悪用する攻撃者は、任意のコード実行を達成し、ゲスト OS 内での権限昇格の可能性を手にする。これらの脆弱性 CVE-2025-27462/CVE-2025-27463/CVE-2025-27464 は、XenServer VM Tools for Windows のバージョン 9.4.1 未満に影響を及ぼす。これらの脆弱性は、Xen セキュリティ・アドバイザリとして公開されたものであり、世界中の仮想化プラットフォーム管理者は迅速な対応を求められている。
これらのセキュリティ脆弱性は、XenServer/Citrix Hypervisor プラットフォーム上で Windows 仮想マシンを実行する、エンタープライズ環境に重大なリスクをもたらすという。
Xen Windows PV ドライバーの脆弱性
一連の脆弱性は、Windows PV ドライバー内でユーザーに公開されるデバイスへの過剰な権限設定に起因し、XenCons/XenIface/XenBus という3つのコア・コンポーネントに影響を及ぼす。
Citrix のセキュリティ・アドバイザリには、「これらのコンポーネントには、セキュリティ記述子がないため、権限のないユーザーであっても完全なアクセスが可能だ」と記されている。
XenCons ドライバの脆弱性 CVE-2025-27462 は、バージョン 9.0.0 で混入したものである。
その一方で、XenIface の CVE-2025-27463 と、XenBus の CVE-2025-27464 は、すべてのリリースに存在する脆弱性であり、数多くのエンタープライズ環境に対して、広範な影響を与えるという。
影響を受けるシステムには、XenServer 8.4/Citrix Hypervisor 8.2 CU1 LTSR 上で実行されている、Windows 仮想マシンが含まれる。具体的には、XCP-ng PV Bus/XCP-ng Interface/XCP-ng PV Console の バージョン 9.0.9065 以下が脆弱であり、XenServer/Citrix PV Bus の バージョン 9.1.11.115 未満と、PV Interface のバージョン 9.1.12.94 未満も危険にさらされる。
これらの脆弱性を悪用する、Windows ゲスト OS 内の権限のないユーザーが、ゲスト・カーネル権限へと昇格することが可能になる。つまり、アクセス権限が制限された攻撃者が、影響を受ける仮想マシンを完全に制御できるため、きわめて重大なセキュリティ侵害となる。
これらの脆弱性の CVSSv 4.0 スコアは 5.9 であり、Low リスクに分類されているが、実際の影響は深刻である。
これらの脆弱性を悪用する攻撃者は、システム・レベルの権限で任意のコード実行を達成し、機密データの漏洩/マルウェアのインストールに加えて、侵害した仮想マシンをネットワーク内でのラテラル・ムーブメントの拠点として利用する可能性を手にする。
ただし、悪用ベクターはローカルであるため、攻撃の前提として Windows ゲスト・システムにアクセス権が必要となる。その一方で、多くの攻撃シナリオにおいては、フィッシング/マルウェアなどがイニシャル・アクセスを提供するため、このローカル制限により、脅威が大幅に軽減されるわけではない。
| CVEs | Affected Products | Impact | Exploit Prerequisites | CVSS 3.1 Score |
| CVE-2025-27462 CVE-2025-27463 CVE-2025-27464 | XenServer VM Tools for Windows versions <9.4.1 (XenServer 8.4, Citrix Hypervisor 8.2 CU1 LTSR) | Local privilege escalation to guest kernel via XenCons driver | Attacker must execute arbitrary unprivileged code in Windows guest VM | 8.8 (High) |
緩和策
すでに Citrix と XenServer は、XenServer VM Tools for Windows バージョン 9.4.1 をリリースし、これらの脆弱性に対処している。その更新されたツールには、xenbus 9.1.11.115/xeniface 9.1.12.94 などの、パッチ適用済みドライバやコンポーネントが取り込まれている。
管理者にとって必要なことは、すべての Windows VM を、最新の XenServer VM Tools バージョンへと、速やかに更新することだ。それらの最新バージョンは、Citrix サポートからの直接ダウンロード/Windows Update メカニズム/管理エージェントの自動更新機能などの、複数のチャネルを通じて提供されている。
Windows Update を使用している組織は、”Windows Update 経由で Citrix PV ドライバを管理する” が有効化されていることを確認してほしい。
迅速なパッチ適用が不可能な環境では、PowerShell 緩和スクリプトが利用できる。それにより、脆弱性のスキャンや、適切なセキュリティ記述子のレジストリへの挿入により、一時的な修正を適用できる。ただし、このスクリプトは、XenIface ドライバの脆弱性だけに対処するため、一時的な対策として考えてほしい。
一般的に、仮想化環境ではミッション・クリティカルなアプリや機密データがホストされるため、重要インフラの運用者は、これらの更新を優先すべきである。
XenServer VM Tools for Windows に複数の脆弱性が発見されました。脅威度は CVSSv 4.0 スコア 5.9 と、さほど高くはないものの、悪用されると機密データの漏洩/マルウェアのインストールなどに至る恐れがあるとのことです。ご利用のチームは、速やかなアップデートを、ご検討ください。よろしければ、Citrix で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.