脅威アクターは、修正パッチが1年以上前に配布されているにもかかわらず、VMware vCenter Serverに存在する重大な脆弱性の悪用を継続している。Broadcomは、この欠陥が現在進行中の侵害で利用されていることを確認しており、米国の規制当局はこれを「実際に悪用されている脆弱性」の登録簿に正式に追加した。
問題の脆弱性はCVE-2024-37079で、vCenter ServerにおけるDCERPCプロトコル実装に存在する「境界外書き込み(out-of-bounds write)」の不具合だ。CVSSスコアは10点満点中9.8で、極めて危険と分類される。DCERPCはリモートプロシージャコールやネットワークサービスを提供し、要するに、あるシステムコンポーネントが別のノード上でコマンドを実行できるようにする。この文脈では、この欠陥により、仮想化管理サーバーへのネットワークアクセスを持つ攻撃者が精巧に細工したパケットを送信し、リモートコード実行(RCE)を達成できる。
より平易に言えば、vCenter Serverをホストするネットワークにアクセスできる者は誰でも、仮想化管理基盤を完全に掌握できる可能性がある。Broadcomは2024年6月18日付の改訂セキュリティ情報で、CVE-2024-37079が「実環境(in the wild)」で悪用されている証拠を確認した。その結果、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は迅速にこの欠陥を、既知の悪用済み脆弱性(KEV)カタログ——悪意あるアクターによって現在武器化されているバグの決定版一覧——に追加した。
KEVカタログへの掲載は、米国連邦機関に対し2月13日までに当該欠陥を修正することを義務付ける。逆説的だが、CVE-2024-37079に対処するBroadcomの更新は18か月以上前から利用可能であるにもかかわらず、多くの組織が適用できていない。BroadcomもCISAも、これらの攻撃の具体的な規模を明らかにしておらず、ランサムウェア集団の関与も「不明」のままだ。さらに、どの脅威アクターが関与しているのか、またどのような戦術的シナリオが用いられているのかについて、確定的な情報はない。
アナリストは、仮想化インフラが長年にわたり、サイバー犯罪組織と国家支援のハッキング主体の双方にとって主要な標的であり続けてきたと指摘する。VulnCheckのセキュリティリサーチ担当副社長であるケイトリン・コンドンは、DCERPCコンポーネントにおける前身の脆弱性CVE-2023-34048が、中国関連とされる少なくとも3つのグループ——Fire Ant、Warp Panda、UNC3886——によって悪用されたと述べた。
彼女は、文書化された脆弱性が時間を置いて悪用されるのは一般的な現象だとする。CVE-2024-37079に関する詳細な情報は1年以上にわたり公開領域に存在し、高度な攻撃者にとっての設計図となってきた。コンドンはさらに、定義上、vCenter Serverは決してパブリックインターネットに公開されるべきではないと強調する。したがって最もあり得るシナリオは、攻撃者がすでに被害者の環境内で初期侵入の足掛かりを確保しており、この脆弱性を用いてラテラルムーブメントを促進し、内部ネットワーク内で支配を固定化するというものだ。この状況はサイバーセキュリティにおける根本的な病理を浮き彫りにしている。すなわち、対処策が存在する重大な脆弱性が何年も未修正のまま放置され、やがて現実の攻撃で悪用され、企業の中枢的な管理システムが侵害されるのである。
