VMware ESXi を標的とするエクスプロイト・ツールキット:複数の脆弱性を悪用する侵害チェーンとは?

Hackers Exploiting VMware ESXi Instances in the Wild Using zero-day Exploit Toolkit

2026/01/08 CyberSecurityNews — ゼロデイ・エクスプロイト・ツールキットを用いるハッカーたちが、VMware ESXi インスタンスを積極的に攻撃している。それにより、複数の脆弱性を連鎖的に悪用し、VMware エスケープを可能にしている。サイバーセキュリティ企業 Huntress が阻止した攻撃の一例では、侵害済の SonicWall VPN からイニシャル・アクセスが行われたと分析されている。

この攻撃者は、SonicWall VPN を介して足掛かりを築いた。続いて、侵害したドメイン管理者アカウントを悪用し、バックアップ・ドメイン・コントローラーおよびプライマリ・ドメイン・コントローラーへのラテラル・ムーブメントを実行した。

プライマリ DC では、Advanced Port Scanner/ShareFinder などの偵察ツールが導入された。さらに、WinRAR を悪用してデータをステージングし、Windows ファイアウォール・ルールを改変することで、外部への送信トラフィックを遮断しながら、内部でのラテラル・ムーブメントを可能にした。

ツールキットの展開から約 20 分後に、前述の ESXi エクスプロイトが実行された。しかし Huntress は、ランサムウェアが展開される前に攻撃を阻止した。

VMware ESXi インスタンス・エクスプロイト・ツールキット

Huntress が MAESTRO と名付けたツールキットは、”devcon.exe” を使用して VMware VMCI ドライバーを無効化する。さらに、KDU 経由で未署名ドライバーをロードし、ドライバー署名強制を回避した上でコア・エスケープを実行するという、一連のオーケストレーションを担っている。

Toolkit (Source: Huntress)

MyDriver.sys により、VMware Guest SDK 経由で ESXi のバージョンが照会される。続いて、ESXi 5.1 〜 8.0 までの 155 件のビルドをサポートするテーブルからオフセットを選択し、HGFS 経由で VMX ベース・メモリをリークする (CVE-2025-22226)。その後に、VMCI 経由でメモリ破損を引き起こし (CVE-2025-22224)、さらに サンドボックス脱出用のシェルコードを展開する (CVE-2025-22225)。

CVE IDCVSS ScoreDescription
CVE-2025-222267.1Out-of-bounds read in HGFS leaking VMX memory​
CVE-2025-222249.3Arbitrary write escaping the VMX sandbox to kernel​
CVE-2025-222258.2Arbitrary write escaping the VMX sandbox to the kernel​

シェルコード展開段階で使用される VSOCKpuppet は、root 権限で実行されるバックドアであり、ESXi の inetd ポート 21 を乗っ取る。このバックドアは、ネットワーク・ツールから不可視なゲスト・ホスト間通信に VSOCK を使用する。

PDB (Program Database) パスで確認されたのは、簡体字中国語の環境での開発である。たとえば、2024年2月の “全版本逃逸–交付” は、2025年3月4日に Broadcom が公開した VMSA-2025-0004 よりも1年以上も前に作成されている。

2023年11月における “client.exe” の PDB は、モジュール式ツールの使用を示唆している。また、改ざんされた VMware ドライバーは XLab を参照している。必要とされるリソースとゼロデイ・アクセスの特性から、この攻撃が中国語圏で発生した可能性が高いと、Huntress は判断している。

VM 分離は、ハイパーバイザーの脆弱性に対する防御策にはならない。また、サポート終了バージョンには修正プログラムが存在しないため、ESXi には緊急のパッチ適用が必要である。ESXi ホストにおいて “lsof -a” コマンドを用いて、VSOCK プロセスを監視すべきである。また、KDU などの BYOD ローダーに注意し、VPN の保護を徹底する必要がある。ファイアウォール設定に対する不審な変更や未署名ドライバの存在は侵害の兆候であり、VSOCK バックドアによる Intrusion Detection System (IDS) 回避が疑われる。

このインシデントが示唆するのは、エクスプロイト後にドライバーを復元する攻撃者が、コンフィグをクリーンアップし、ステルス性を優先するという侵害の実態である。ESXi を標的とするランサムウェアの増加に伴い、ユーザー組織にとって必要なことは、仮想化基盤における積極的なセキュリティ強化となる。

VMware ESXiを狙った非常に高度な攻撃について、技術的な背景を整理してくれる記事です。この攻撃チェーンは、複数の脆弱性をパズルのように組み合わせることで、本来は隔離されているはずの仮想マシンから、管理元である物理サーバ (ESXi) へのエスケープを可能にするものです。この攻撃者は、メモリの内容を偵察して情報を盗み出し、メモリを意図的に破壊することで、セキュリティの境界線を突破するプログラムを実行させています。さらに、OS の保護機能を回避しながら不正なドライバーを読み込ませることで、管理者権限を奪い、検出が難しいバックドアを設置する仕組みになっていました。仮想マシンを分けていても、土台となる基盤に脆弱性があると防ぎきれないのが、この攻撃の怖いところです。ご利用のチームは、ご注意ください。よろしければ、2025/03/03 の「VMware ESXi/Workstation/Fusion の脆弱性 CVE-2025-22224/22225/22226 が FIX:悪用を観測」を、ご参照ください。