出典:jejim120(Alamy Stock Photo経由)
新たに公開されたVMwareの脆弱性が、脅威アクターによってほぼ1年間悪用されていた可能性があります。
VMwareの親会社であるBroadcomは9月29日、3つの脆弱性を公開しました:VMware Aria OperationsおよびVMware Toolsの権限昇格の脆弱性(CVE-2025-41244)、VMware Aria Operationsの情報漏洩バグ(CVE-2025-41245)、およびVMware Tools for Windowsの不適切な認可の脆弱性(CVE-2025-41246)です。
3つすべてのパッチが現在利用可能であり、顧客はBroadcomのアドバイザリに従い、影響を受ける製品を最新バージョンに更新する必要があります。しかし、CVE-2025-41244が最も注目すべきものかもしれません。ペネトレーションテストおよびインシデント対応企業NVISOが公開したブログ記事によると、同社のアナリストで脆弱性を発見したMaxime Thiebaut氏は、昨年10月中旬から実際にゼロデイの悪用が観測されたと主張しています。
さらに、Thiebaut氏によれば、NVISOはインシデント対応の過程で、中国政府支援の脅威アクターUNC5174が攻撃中に該当するローカル権限昇格を引き起こしたことを特定しました。
しかし、この脆弱性で最も興味深い点は、ブログ記事によるとCVE-2025-41244の実行が「非常に簡単」であり、「他の複数のマルウェアが、意図しない権限昇格の恩恵を何年も偶然受けていた可能性が現実的にある」ということです。
CVE-2025-41244">VMware脆弱性CVE-2025-41244の内部
CVE-2025-41244は権限昇格のバグで、仮想マシンゲストのOSが適切に動作するためのユーティリティ群であるVMware Toolsおよび仮想アプライアンスのVMware Aria Operationsに影響します。
NVISOによれば、同社は「open-vm-tools」というオープンソース版を用いてToolsを分析し、Toolsには複数の機能を持つサービスディスカバリ機能があり、接続されたコンポーネントのバージョンを見つけることなどができます。そしてバイナリを発見する過程で、ユーザーに昇格した権限が与えられます。攻撃者はこの機能を利用して、マルウェアを含む非システムバイナリを検索・発見でき、権限昇格の仕組みが脅威アクターのためにマルウェアを配置します。
「聞こえるほど単純ですが、あなたが名前を付ければVMwareが昇格させます」とThiebaut氏は記しています。
サービスディスカバリは、Living-off-the-land技術やアクセス後のマルウェアインストールを通じて行われるかどうかに関わらず、脅威アクターの行動としてよく知られています。このため、Thiebaut氏はUNC5174が意図的に悪用に成功したかどうか確信が持てないと述べています。
「システムバイナリ(例:httpd)を模倣する広範な手法は、他の複数のマルウェアが、意図しない権限昇格の恩恵を何年も偶然受けていた現実的な可能性を浮き彫りにしています」とブログ記事は述べています。「さらに、open-vm-toolsのソースコードでこれらの脆弱性を特定するのが容易であることから、権限昇格の知識がNVISOによる実際の発見以前から存在していた可能性が高いです。」
タイムラインによれば、NVISOは5月中旬にUNC5174のインシデント対応中にこの脆弱性を特定しました。CVE-2025-41244をゼロデイとして特定しBroadcomに報告した後、両社は責任ある開示の一環として公開を一時差し止め、昨日ブログ記事とアドバイザリを公開しました。
Dark ReadingはNVISOにタイムラインや、同社が10月にどのように悪用を検知したかについて質問しました。これに対し、広報担当者は以前の悪用の証拠に基づくものだと述べています。
「このギャップは『ドウェルタイム』、つまり攻撃が発生してから発見されるまでの期間に関係しています。NVISOは今年初めにインシデント対応のため呼ばれ、その際に攻撃が検知されました」と広報担当者は説明します。「フォレンジック分析の過程でタイムラインを再構築し、この悪用の痕跡が2024年10月にまで遡ることを発見しました。確認から数日以内にBroadcomへ脆弱性を報告しました。」
Broadcomはアドバイザリで、継続中または過去の悪用活動については言及していません。Dark Readingはその理由をベンダーに尋ねましたが、記事掲載時点でBroadcomからの回答はありませんでした。
CVE-2025-41244">CVE-2025-41244の発見と対策
良い点として、CVE-2025-41244の悪用は「容易に検知できる」とThiebaut氏は述べており、ブログ記事で詳述されているような適切な不審プロセスの監視によって可能です。「ローカル権限昇格であるため、CVE-2025-41244の悪用は、攻撃者がすでに該当デバイスへのアクセスを得ており、他の複数の検知メカニズムが作動しているはずだという兆候です。」
Broadcomのアドバイザリによれば、この脆弱性はCVSS深刻度7.8の「高」評価であり、顧客が利用しているVMware製品に応じて適切なパッチを適用することでのみ修正可能です。他の回避策や緩和策はありません。
翻訳元: https://www.darkreading.com/remote-workforce/china-exploited-new-vmware-bug-nearly
