Huntressのセキュリティ研究者は、MAESTROと呼ばれるゼロデイ攻撃ツールキットを通じてVMware ESXiインスタンスを標的とする高度な攻撃キャンペーンを発見しました。
このツールキットは複数の重大な脆弱性を連鎖させて仮想マシンエスケープを実現し、脅威アクターがゲスト環境から脱出してホストシステムの制御を奪えるようにします。
この発見は、仮想化インフラに対する脅威がエスカレートしていることを浮き彫りにしており、特に攻撃者がランサムウェア作戦のためにハイパーバイザーのセキュリティをますます狙っている状況が背景にあります。
Huntressによって阻止された実際の攻撃では、脅威アクターは侵害されたSonicWallのVPNアプライアンスを介して初期アクセスを獲得し、その後、盗まれたドメイン管理者(Domain Admin)の資格情報を用いて横展開しました。
主要なドメインコントローラーに到達すると、攻撃者はAdvanced Port ScannerやShareFinderなどの偵察ツールを展開し、環境のマッピングを行いました。
彼らはWinRARでデータをステージングし、さらにWindowsファイアウォールのルールを意図的に変更して、外部へのアウトバウンド接続を遮断する一方で内部の横移動を許可しました。これは、指揮統制(C2)能力を維持しつつ秘匿性を保つための戦術です。
MAESTROツールキットは、ドメインコントローラーに展開されてから約20分後に実行されました。まずdevcon.exeを使用してVMware VMCIドライバーを体系的に無効化し、その後、Windowsのセキュリティ機構であるドライバー署名の強制(Driver Signature Enforcement)を回避するために、KDU経由で署名のないカーネルドライバーを読み込みました。
ツールキットの中核コンポーネントであるMyDriver.sysは、Guest SDKを使用してESXiのバージョンを検出し、ESXi 5.1から8.0までの155ビルドをサポートするテーブルから一致するメモリオフセットを選択します。
この悪用チェーンは、サンドボックスエスケープを達成するために3つの異なるゼロデイ脆弱性を利用します。ツールキットはまずCVE-2025-22226を通じて仮想マシンのメモリを漏えいさせ、次にCVE-2025-22224およびCVE-2025-22225によりカーネルメモリを破壊して権限を昇格させます。
エスケープが達成されると、攻撃者はVSOCKpuppetを展開します。これは高度なバックドアで、ポート21上のESXiのinetdサービスを乗っ取り、root権限でのコマンド実行を可能にします。
重要なのは、このバックドアが秘匿的なゲストからホストへの通信にVSOCKを悪用しており、標準的なネットワーク監視ツールでは検知できない点です。
PDBデバッグシンボルのフォレンジック分析により、開発が簡体字中国語の環境で行われたことが示され、成果物の日付は2024年2月となっていました。これは、Broadcomが2025年3月に公式に脆弱性を開示するよりも1年以上前です。
追加のクライアントツールの成果物には「XLab」への言及があり、タイムスタンプは2023年11月で、モジュール化され、十分なリソースを持つ敵対者のインフラを示唆しています。
この攻撃は、ハイパーバイザーの脆弱性がVMの分離保証を根本から損なうことを示しています。
Huntress研究者は、サポート終了(EOL)バージョンにはセキュリティ更新が提供されないため、組織がESXiシステムを直ちにパッチ適用することを推奨しています。
検知には、ネットワークユーティリティを用いたVSOCKプロセスの監視、不審なカーネルドライバーの精査、そして初期侵害を防ぐためのVPNアプライアンスの保護が必要です。
このインシデントは、仮想化セキュリティが従来のネットワーク防御と並んで、いまやエンタープライズ級の注意を要する理由を浮き彫りにしています。
翻訳元: https://cyberpress.org/exploit-vmware-esxi/