VMware ESXi Server の 17,000台が危険な状況:深刻な整数オーバーフロー脆弱性 CVE-2025-41236 の放置

17,000+ VMware ESXi Servers Vulnerable to Critical Integer-Overflow Vulnerability

2025/08/12 CyberSecurityNews — 世界に展開される 17,000 台以上の VMware ESXi システムが、深刻な整数オーバーフロー脆弱性 CVE-2025-41236 (CVSS:9.3) の危険に直面していると、サイバー・セキュリティ研究者たちが警告している。この深刻な脆弱性は、2025年7 月に報告されたものであり、緊急のパッチ適用の必要性があるが、最新のスキャン結果によると、依然として対応は遅れており、数千台のシステムがパッチ未適用の状態にあるという。

英国政府と提携する Shadowserver Foundation は、2025年7月19日以降において、脆弱性 CVE-2025-41236 の検出機能を組み込んだ、グローバル・スキャンを毎日実施している。

その初回スキャンでは、エンタープライズ環境で広く使用されている、仮想化プラットフォーム ESXi の脆弱なバージョンを実行している IP アドレスが、17,238 件も特定された。その後の 8月10日の時点で、パッチ未適用のサーバ数は 16,330 台に減少したに過ぎず、脅威の深刻さが警告されても、対策の進行が非常に遅いことを示している。

VMware ESXi の脆弱性 – CVE-2025-41236

脆弱性のあるシステムの地理的な分布が、この脅威の規模の大きさを示している。影響を受けた国として挙げられるのは、上位を占めている中国/米国/フランス/ドイツなどであり、各国において数百〜数千の脆弱な ESXi インスタンスがホストされている。

Exposed Servers
Exposed Servers

さらに、ロシア/オランダ/ブラジルなどの国々でも、この脆弱性は深刻化している。ESXi を仮想化に利用している、企業/政府/クラウド・サービス・プロバイダにとって、この状況は大きなリスクとなっている。

この脆弱性の悪用に成功した攻撃者は、コア・インフラを制御下に置き、重要なシステムを大規模に混乱させる可能性を手にする。

脆弱性 CVE-2025-41236 (CVSS:9.3) は、VMware ESXi の HTTP 管理インターフェイスにおける整数オーバーフローのバグである。 この脆弱性の悪用に成功した未認証のリモート攻撃者は、仮想環境内での任意のコード実行/権限昇格に加えて、ランサムウェアの展開も可能にするという。

研究者たちによると、この脆弱性の悪用は容易であり、攻撃者はデータセンター全体に攻撃を仕掛けることも可能だという。この脆弱性は ESXi 7.x と 8.x の一部に影響を及ぼすものであり、アンダーグラウンド・フォーラムでのエクスプロイトの流通も、7 月下旬以降に報告されている。

セキュリティ・チームの対応は遅れており、その様子は数字にも表れている。Shadowserver による3週間のスキャンにおいて、減少したとされる脆弱なインスタンス数は 1,000 件未満であり、全体の僅か 5% に過ぎない。パッチ適用の遅れの原因として、専門家たちが挙げるのは、複雑なアップグレード・プロセス/ダウンタイムへの懸念/認識不足などである。

数多くの無防備な ESXi ホストは、インターネットから直接アクセスが可能な状態であり、リスクを増大させるものであり、大規模なエクスプロイト攻撃を誘発しかねない。すべてのユーザー対して、以下の対応が求められている:

  • 速やかなパッチ適用:パッチ未適用の ESXi バージョンを実行している組織は、VMware の公式セキュリティ・アップデートを遅滞なく適用する必要がある。
  • 脆弱性の確認:公開スキャン・ツールやベンダーのアドバイザリを活用し、自社の環境における脆弱性の有無を確認する。
  • アクセス制限:インターネットに接続する管理インターフェイスを制限し、強力な認証ポリシーを適用する。

数千台もの ESXi サーバがインターネットに公開され、パッチが未適用の状態が続いている。それが示すのは、セキュリティ対策の強化と脆弱性管理の迅速化が急務であることだ。世界中のサイバー犯罪者たちが、脆弱性は CVE-2025-41236 の悪用を狙っており。一刻の猶予も許されない状況にある。

この脆弱性は、VMware ESXi の HTTP 管理インターフェイスに存在する、整数オーバーフローが原因で発生するものです。特定の条件を満たす、細工されたリクエストを受け取ると、メモリ計算が誤って処理され、境界を超えた領域へのアクセスが生じます。その結果として、未認証のリモート攻撃者であっても、任意コードの実行や権限昇格が可能になると、この記事は指摘しています。よろしければ、VMware ESXi で検索も、ご参照ください。