TokyoBlackHatNews

bleepingcomputer.com 5分で読了

VMware ESXiのゼロデイは、公開の1年前から悪用されていた可能性

Image

中国語話者の脅威アクターが、侵害されたSonicWall VPNアプライアンスを利用してVMware ESXiのエクスプロイト・ツールキットを配布しており、標的となった脆弱性が公に知られるようになる1年以上前に開発されていたようだ。

マネージドセキュリティ企業Huntressが分析した2025年12月の攻撃では、ハッカーは高度な仮想マシン(VM)エスケープを使用しており、2025年3月にゼロデイとして公開されたVMwareの脆弱性3件を悪用した可能性が高い。

3つのバグのうち、クリティカルの深刻度スコアが付与されたのは1件のみだった:

  • CVE-2025-22226(深刻度スコア7.1): HGFSにおける境界外読み取りで、VMXプロセスからメモリを漏えいさせることが可能
  • CVE-2025-22224(深刻度スコア9.3): Virtual Machine Communication Interface(VMCI)におけるTOCTOU脆弱性で、境界外書き込みにつながり、VMXプロセスとしてコード実行が可能
  • CVE-2025-22225(深刻度スコア8.2): ESXiにおける任意書き込みの脆弱性で、VMXサンドボックスからカーネルへ脱出できる

公開当時、Broadcomは警告し、管理者権限を持つ攻撃者がこれらのセキュリティ問題を連鎖させてVMから脱出し、基盤となるハイパーバイザーへアクセスできる可能性があるとしていた。

しかし、Huntressの新しいレポートでは、少なくとも2024年2月以降、これらの脆弱性がエクスプロイトとして連鎖されていた可能性を示す手がかりが提示されている。

研究者らは、エクスプロイト・バイナリのPDBパス内に「2024_02_19」という名前のフォルダを見つけており、当該パッケージが潜在的なゼロデイ・エクスプロイトとして開発されていたことを示唆している。

C:\Users\test\Desktop\2024_02_19\全版本逃逸--交付\report\ESXI_8.0u3\

さらに、フォルダ名は「全/フルバージョン脱出 – 配布」と訳せることから、意図された標的がESXi 8.0 Update 3であったと推測できる。

Huntressは、初期侵入は侵害されたSonicWall VPNを経由した可能性が高いと評価している。攻撃者は侵害されたDomain Adminアカウントを使用してRDPでドメインコントローラーへ横展開し、持ち出し(エクスフィルトレーション)用にデータを準備し、ゲストVMからESXiハイパーバイザーへ脱出するエクスプロイト・チェーンを実行した。

エクスプロイト・ツールキットには、以下のコンポーネントが含まれていた:

  • MAESTRO(exploit.exe) – VMware VMCIデバイスを無効化し、KDU経由で未署名のエクスプロイト・ドライバを読み込み、エクスプロイト成功を監視し、その後ドライバを復元することでVM脱出を調整する。
  • MyDriver.sys – VM脱出を実行する未署名のカーネルドライバ。ESXiバージョン検出、VMXメモリの漏えいと破壊、サンドボックス脱出、ハイパーバイザー・バックドアの展開を含む。
  • VSOCKpuppet – ESXiホスト上で動作するELFバックドアで、VSOCK経由のコマンド実行とファイル転送を提供し、従来のネットワーク監視を回避する。
  • GetShell Plugin(client.exe) – ゲストVMから侵害されたESXiホストへ接続し、VSOCKpuppetバックドアとやり取りするために使用されるWindows用VSOCKクライアント。
Image
MAESTROの主な機能
出典: Huntress

研究者らは、ツールキットのビルド日を示すさらなる手がかりも見つけた。「client.exe」バイナリに埋め込まれたPDBパスには「2023_11_02」という名前のフォルダがある。

C:\Users\test\Desktop\2023_11_02\vmci_vm_escape\getshell\source\client\x64\Release\client.pdb

このコンポーネントは、「getshellコンポーネントを備えた、より広範なvmci_vm_escapeツールキットの一部」であった可能性がある。

研究者らは、脅威アクターがモジュール式のアプローチを取っており、侵害後(ポストエクスプロイト)のツールをエクスプロイトから分離している可能性があると考えている。これにより、同じインフラを使い回しつつ、新しい脆弱性へ切り替えるだけで済むようになる。

HuntressはBleepingComputerに対し、当該エクスプロイト・ツールキットが、Broadcomが昨年3月に公開した3つの脆弱性を悪用しているという見立てに「中程度の確信」を持っていると述べた。この評価は、情報漏えいにHGFSを使用し、メモリ破壊にVMCIを使用し、シェルコードがカーネルへ脱出する、といったエクスプロイトの挙動に基づく。

ただし、Broadcomが3つのゼロデイについて当初のブリテンで開示したものと同一の悪用であると、100%の確実性で確認することはできなかった。

The complete exploitation flow
完全な悪用フロー
出典: Huntress

悪用のタイムラインおよび帰属に関する観察として、Huntressは、一部のビルドパスに簡体字中国語が含まれている一方で、英語のREADMEも存在すると報告しており、他の脅威アクターに販売する、または共有する意図があった可能性を示している。

Huntressは、この組み合わせは、中国語圏で活動する十分なリソースを持つ開発者によってツールキットが開発されたことを示唆している可能性が高いとコメントしている。

研究者らは、SonicWall VPNが初期侵入ベクターであったことに高い確信を持っているものの、組織に対しては最新のESXiセキュリティ更新を適用し、早期検知のために提供されているYARAおよびSigmaルールを使用することを推奨している。

翻訳元: https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/

ソース: bleepingcomputer.com
#CVE-2025-22224 #CVE-2025-22225 #CVE-2025-22226 #Huntress調査 #SonicWall VPN #VMware ESXi #VMエスケープ #ゼロデイ脆弱性 #ハイパーバイザー侵害 #中国語圏の脅威アクター

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用