ソフトウェアは常に最新の状態に保たなければなりません。Broadcomが欠陥を修正してから1年以上が経った今、正体不明の悪党どもが重大なVMware vCenter Serverのバグを悪用しています。
この脆弱性はCVE-2024-37079として追跡されており、vCenter ServerにおけるDCERPCプロトコル実装の境界外書き込み(out-of-bounds write)の欠陥です。CVSS評価は10点満点中9.8。つまり、ほぼ最悪レベルということです。
Distributed Computing Environment/Remote Procedure Callsの略であるDCERPCは、ネットワーク越しにリモートシステム上の手続きやサービスをソフトウェアから呼び出せるようにします。このバグは、vCenter Serverにネットワークアクセスできる人物が、特別に細工したネットワークパケットを送信することで悪用でき、リモートコード実行につながる可能性があります。そして金曜日、ベンダーと連邦当局の双方が、これが(あるいはこれに類することが)起きていると警告しました。
「Broadcomは、CVE-2024-37079の悪用が実環境で発生したことを示唆する情報を得ています」と、ベンダーは2024年6月18日付のセキュリティアドバイザリの更新で警告しました。
同じく金曜日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この重大なセキュリティホールをKnown Exploited Vulnerabilities(KEV)カタログに追加しました。これは、連邦機関が2月13日までにこの欠陥へパッチを適用しなければならないことを意味します。なお改めて指摘しておくと、Broadcomは1年半以上前に、このCVEを修正するソフトウェア更新を提供しており、パッチを展開する最適なタイミングは2024年6月でした。
CISAのKEVでは、このバグがランサムウェア・キャンペーンで使用されているかどうかは「不明」とされています。またBroadcomは、悪用の範囲に関する詳細を提供しておらず、CVE-2024-37079の悪用についてのThe Registerからの問い合わせにも回答しませんでした。誰がこの欠陥を悪用し、企業のvCenter Serverへの不正アクセスで何をしているのか、判明し次第この記事を更新します。
VulnCheckのセキュリティ研究担当VPであるケイトリン・コンドン氏はThe Registerに対し、BroadcomのvCenter Serverを含む仮想化インフラは、政府支援のハッカーと金銭目的のサイバー犯罪者の双方にとって好みの標的だと語りました。
「例として、vCenter ServerのDCERPCプロトコルにおける以前の脆弱性であるCVE-2023-34048は、少なくとも中国と関係することが知られている3つの脅威アクター(Fire Ant、Warp Panda、UNC3886)によって悪用されました」とコンドン氏は述べました。
コンドン氏は、この脆弱性の詳細が1年以上前から公開されていることを踏まえると、攻撃者によりこのバグが悪用されているのを見ても驚かないと述べました。
「国家支援グループを含む脅威アクターが、たとえ古いものであっても公開済みの脆弱性情報を機会主義的に利用して新たな攻撃を行うのはよくあることであり、この脆弱性が実環境で悪用されているのはそれほど驚くことではありません」と彼女は述べました。
「脅威アクターの帰属や攻撃者の挙動に関する差し迫った詳細はありませんが、vCenter Serverは決して、絶対に、公開インターネットに露出させるべきではありません。したがって、敵対者はすでに被害環境内に足がかりを得ていた可能性が高いです」とコンドン氏は付け加えました。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/23/critical_vmware_vcenter_server_bug/
