サイバーセキュリティ企業Huntressによると、中国の脅威アクターが、2025年3月に修正された3件のVMware ESXi脆弱性に対するエクスプロイトを、公表の1年以上前に作成していたという。
これら3件のバグはCVE-2025-22224、CVE-2025-22225、CVE-2025-22226として追跡され、ESXicapeと命名されている。特権を持つ攻撃者が任意のコードを実行し、VMから脱出してハイパーバイザー自体を侵害できる。
VMwareのオーナーであるBroadcomは昨年、これら3件の欠陥がゼロデイとして実環境で悪用されていたと警告したが、攻撃に関する情報は共有しなかった。
現在、Huntressによると、脅威アクターが2025年12月にVMware ESXiの脆弱性を悪用しようと試みており、ランサムウェアを伴う攻撃であった可能性が高いという。
Huntressによれば、標的環境への初期アクセスは、侵害されたSonicWall VPNインスタンスを通じて得られた。
その後、ハッカーはドメイン管理者(DA)アカウントを悪用してプライマリ・ドメイン・コントローラーにアクセスし、ESXiのエクスプロイト・ツールキットを展開した。
攻撃の一環として、ハッカーはWindowsファイアウォールを改変して被害者の外部ネットワークへのアクセスを遮断し、持ち出し(エクスフィルトレーション)のためにデータを収集したうえで、VMから脱出してESXiハイパーバイザー上にバックドアを展開するエクスプロイトを実行した。
HuntressによるVMwareエクスプロイトの分析では、十分なリソースを持ち、中国語圏で活動している可能性が高い脅威アクターによって開発されたことが示唆されるという。
同社は、このツールキットについて「VMwareによる公表の1年以上前に、ゼロデイ・エクスプロイトとして作成された可能性がある」と述べている。
エクスプロイトのバイナリに含まれるタイムスタンプに基づき、Huntressはこのエクスプロイトが2024年2月のものかもしれないとみている。攻撃で使用されたVSOCK通信ツールは、2023年11月に作成された可能性が高い。
Huntressは「このエクスプロイト・ツールキットは、バージョン5.1から8.0までにまたがる155のESXiビルドをサポートしている。サポート終了(EOL)のバージョンを運用している場合、修正が提供されないまま脆弱な状態にある」と指摘する。
組織は、これらのVMware ESXi脆弱性に対するパッチをできるだけ早く適用するよう推奨される。
The Shadowserver Foundationのデータによれば、2026年1月8日時点で、インターネットに露出したESXiインスタンスのうち3万件以上がCVE-2025-22224に対して脆弱である可能性がある。これらの導入環境は、他のバグの影響も受けている可能性がある。
