米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、重大なVMware vCenter Serverの脆弱性が積極的に悪用されているとして警告し、連邦機関に対し3週間以内にサーバーを保護するよう命じました。
2024年6月に修正されたこのセキュリティ欠陥(CVE-2024-37079)は、vCenter ServerのDCERPCプロトコル実装におけるヒープオーバーフローの脆弱性に起因します(vCenter Serverは、管理者がESXiホストや仮想マシンを管理するのに役立つ、Broadcom VMware vSphereの管理プラットフォームです)。
vCenter Serverへのネットワークアクセスを持つ脅威アクターは、特別に細工したネットワークパケットを送信することでこの脆弱性を悪用し、標的システム上の権限やユーザー操作を必要としない低難度の攻撃でリモートコード実行を引き起こす可能性があります。
CVE-2024-37079には回避策や緩和策がないため、Broadcomは顧客に対し、可能な限り早く最新のvCenter ServerおよびCloud Foundationのリリースへセキュリティパッチを適用するよう助言しました。
金曜日、CISAはこの脆弱性を、実環境で悪用されている欠陥のカタログに追加し、これにより、2021年11月に発行された拘束力のある運用指令(BOD)22-01の要件に基づき、連邦民間行政機関(FCEB)に対して2月13日までの3週間で脆弱なシステムを保護するよう期限を設定しました。
FCEB機関とは、国務省、司法省、エネルギー省、国土安全保障省など、軍事機関ではない米国の行政機関を指します。
「この種の脆弱性は、悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクターであり、連邦全体に重大なリスクをもたらします」とCISAは警告しました。「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は当該製品の使用を中止してください。」
同日、Broadcomは当初のアドバイザリを更新し、CVE-2024-37079が実環境で悪用されていることも把握していると確認しました。
「Broadcomは、CVE-2024-37079の悪用が実環境で発生したことを示唆する情報を得ています」と同社は注意喚起しました。
10月には、CISAはまた、米国政府機関に対し、BroadcomのVMware Aria OperationsおよびVMware Toolsソフトウェアにおける高深刻度の脆弱性(CVE-2025-41244)にパッチを適用するよう命じました。この脆弱性は、中国のハッカーが2024年10月以降、ゼロデイ攻撃で悪用していました。
昨年、Broadcomはまた、米国家安全保障局(NSA)から報告された2件の高深刻度のVMware NSXの欠陥(CVE-2025-41251およびCVE-2025-41252)に対処するセキュリティパッチをリリースし、Microsoftから報告された、攻撃で積極的に悪用されていた他の3件のVMwareゼロデイ(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)も修正しました。
