中国と関係のあるサイバー犯罪者は、依拠していたバグが公表される1年以上前から、動作するVMware ESXiハイパーバイザー脱出キットを保持していた。
これはHuntressの研究者によるもので、同社は今週、2025年12月に観測した侵入事例の詳細な分析を公開した。そこでは「高度な」ツールキットが用いられ、仮想マシンから脱出してESXiハイパーバイザー自体を標的にしていたという。セキュリティ企業は、コードの一部が2024年2月という早い時期から開発が始まっていたことを示していると述べており、これはVMwareが2025年3月にバグを公表する丸1年前に当たる。
このインシデントは、まったく華やかではない形で始まった――侵害されたSonicWallのVPNアプライアンスからだ。そこから攻撃者はDomain Adminアカウントを乗っ取り、ネットワーク内を横展開し、最終的にHuntressによれば複数の欠陥を悪用してゲストVMから脱出し、下層のESXiハイパーバイザーに到達するためのツール群を展開した。
VM脱出のバグは、仮想化が前提としている約束――侵害されたVMは自分の箱の中に留まる――を破るため、特に深刻だ。このケースでは、攻撃者はESXi固有の手口をつなぎ合わせ、境界を越えてハイパーバイザー自体でコードを実行できるようにしたとみられる。
Huntressがバイナリを分析したところ、簡体字中国語の文字列や、「全バージョン脱出-配信」を意味する中国語テキストでラベル付けされたフォルダーを含む開発パスが見つかり、この作業の背後にある地域性と意図を示唆している。さらに研究者は、コードに付与されたタイムスタンプから、VMwareが脆弱性を認めたり修正したりするよりもかなり前に組み上げられていたことが分かるとしている。
これらの欠陥――CVE-2025-22224、CVE-2025-22225、CVE-2025-22226として追跡されている――は、2025年3月にVMwareによって指摘され、ゲストVMからハイパーバイザーを侵害するために連鎖可能な、重大および高深刻度のバグとされた。当時同社は、「(3つのCVEすべての)悪用が実環境で発生していることを示唆する情報がある」と警告していた。
勧告が出ると組織はESXiホストのパッチ適用に奔走したが、Huntressの調査結果は、少なくとも一部の熟練した攻撃者が、ITチームが存在すら知らないはるか以前からこれらの問題を武器化していたことを示唆している。
これは単なる「荒らして奪う」類の攻撃ではなかった。Huntressによれば、攻撃者はVMware自身のドライバーを無効化し、署名のないカーネルモジュールを読み込み、気付かれないように設計された方法で外部と通信していた。このツールキットは150以上のビルドにまたがる幅広いESXiバージョンをサポートしており、阻止されていなければ攻撃者は広範な環境を狙えたはずだ、と同社は付け加えた。
また、中国と結び付けられる攻撃者が、広く使われているエンタープライズ向けソフトウェアのゼロデイをひそかに悪用していたところを捕捉されたのは今回が初めてではない。Volt Typhoonのようなキャンペーンは、中国関連の攻撃者が何カ月にもわたって企業ネットワーク内に静かに潜み、目立たないようにしていられることを示した。そのケースでも、ほとんどの被害者は事後かなり経ってからまで、何かがおかしいとは気付かなかった。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/09/china_esxi_zerodays/
