2025年12月、あるセキュリティチームが、ぎりぎりのところでハッカー集団を捕捉しました。Huntress社の研究者であるAnna Pham氏とMatt Anderson氏は最近、これらの攻撃者が仮想マシンから「脱出」してホストサーバー全体を乗っ取ることに成功した経緯を詳述しました。Hackread.comと共有されたこの調査により、長年にわたり密かに運用されていた可能性が高いツールキットの存在が明らかになりました。
ご存じのとおり、仮想マシン(VM)は隔離されたデジタルの部屋のようなものです。1つがウイルスに感染しても、建物の他の部分は安全なはずです。しかし、これらの攻撃者はVMエスケープを用いてその壁を破りました。これにより、ゲストコンピュータから、ESXiハイパーバイザーとして知られるメインサーバーの中枢へと移動できるようになりました。
攻撃の始まり
ハッカーは侵入に魔法のような手口を必要としませんでした。参考までに言うと、彼らは盗まれたパスワードを使い、リモートワークで一般的に利用されるSonicWall VPN経由で侵入しました。侵入後、MAESTROという名のツールキットを使用しました。
さらに調査を進めると、ハッカーがVMXと呼ばれるプロセスを標的にしていたことが判明しました。これは、テキストのコピーのような単純な作業のために、仮想コンピュータがメインサーバーとやり取りするのを助けるアシスタント役です。
このアシスタントを破ることで、ハッカーはサーバーに直接命令を出せるようになりました。研究者は、ハッカーが非常に巧妙で、データを盗むためにネットワーク内を移動する間、サーバーが支援を求めて「ホームに連絡」できないよう設定を変更していたことさえ指摘しています。注目すべきは、このツールキットが驚異的に強力で、バージョン5.1から8.0までの155種類ものVMwareソフトウェアの異なるバージョンで動作した点です。
ゼロデイ脆弱性
最も懸念されるのはタイムラインです。VMwareがこれらの穴(修正済みで、CVE-2025-22224、22225、および22226としてラベル付け)を2025年3月4日に塞いだ一方で、研究者はこのツールキットが2023年11月2日という早い時期に作られていたことを突き止めました。つまり、攻撃者は1年以上にわたり、作成者に未知の欠陥であるゼロデイを利用していた可能性が高いということです。
さらに調査を進めると、コード内に簡体字中国語の注釈が含まれており、「全バージョン脱出 – 配送」と訳せるフォルダ名も見つかりました。研究者によれば、これは中国語圏に拠点を置く可能性が高い「十分なリソースを持つ開発者」を示唆しています。
さらに、これらのハッカーはVSOCKと呼ばれる特別な不可視の経路を使ってサーバーと通信していました。多くのセキュリティツールは通常のインターネット通信を監視しますが、VSOCKはファイアウォールでは見えない、マシン内部の隠しトンネルのようなものです。
安全を保つために、Huntressチームは企業に対し、直ちにシステムへパッチを適用し、サーバー上の不審な活動を確認する必要があると述べています。この攻撃はランサムウェアによる大惨事になる前に阻止されましたが、隔離されたシステムであっても継続的なケアが必要であることを示しています。
翻訳元: https://hackread.com/maestro-toolkit-vmware-vm-escape-vulnerabilities/
