木曜日、CISAは米国政府機関に対し、BroadcomのVMware Aria OperationsおよびVMware Toolsソフトウェアに存在する高深刻度の脆弱性を悪用した攻撃からシステムを保護するよう警告しました。
FCEB機関は、米国行政機関のうち軍事機関を除く機関であり、国土安全保障省、エネルギー省、財務省、保健福祉省などが含まれます。
BOD 22-01は連邦機関のみに適用されますが、CISAはすべての組織に対しても、この脆弱性の修正をできるだけ早く優先するよう呼びかけています。
「この種の脆弱性は、悪意あるサイバー攻撃者による攻撃経路として頻繁に利用されており、連邦組織に重大なリスクをもたらします」とCISAは警告しています。「ベンダーの指示に従って緩和策を適用し、クラウドサービスに関しては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
昨年10月から攻撃で悪用
Broadcomは、欧州のサイバーセキュリティ企業NVISOのMaxime Thiebautが、UNC5174という中国国家支援の脅威アクターが2024年10月中旬以降にこの脆弱性を悪用していると報告した1か月後の今日、CVE-2025-41244が実際に悪用されていると警告しました。
当時、ThiebautはCVE-2025-41244を悪用して、脆弱なVMware Aria Operations(認証ベースモード)およびVMware Tools(認証不要モード)が稼働するシステムで権限昇格を行い、最終的に攻撃者がVM上でrootレベルのコード実行を得る方法を示す概念実証コードも公開しました。
Google Mandiantのセキュリティアナリストは、UNC5174を中国国家安全部(MSS)の請負業者と特定し、この脅威アクターが2023年末、F5 BIG-IPリモートコード実行脆弱性(CVE-2023-46747)を悪用した攻撃の後、米国防衛請負業者、英国政府機関、アジアの機関のネットワークへのアクセスを販売していたことを観測しました。
2024年2月、UNC5174はConnectWise ScreenConnectの脆弱性(CVE-2024-1709)も悪用し、米国およびカナダの数百の機関に侵入しました。また5月には、NetWeaverの認証不要ファイルアップロード脆弱性(CVE-2025-31324)を悪用した攻撃にも関与し、未修正のNetWeaver Visual Composerサーバーでリモートコード実行が可能となることが確認されました。
今年初め以降、BroadcomはMicrosoft Threat Intelligence Centerが報告した他の3つの積極的に悪用されたVMwareゼロデイ脆弱性(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)を修正し、米国国家安全保障局(NSA)が報告した2つの高深刻度VMware NSX脆弱性(CVE-2025-41251およびCVE-2025-41252)にも対応するセキュリティパッチをリリースしています。
