NSXおよびvCenterの脆弱性がネットワークアクセス獲得に悪用される可能性があると、アドバイザリが警告
VMwareの重要な製品で新たに3つの脆弱性が発見され、そのうち2つはユーザー名を取得するために悪用される可能性があります。
この3つの脆弱性のうち2つは米国国家安全保障局(NSA)によって発見され、月曜日に公開され、重大度は「重要」とされています。
3つ全ての脆弱性に対するパッチが提供されています。
「パッチ適用を遅らせる組織は、インシデント発生リスクの増大に直面します」と、インシデント対応企業CypferのCOOであるEd Dubrovsky氏は述べています。「攻撃者は気付かれずに内部システムへ侵入し、機密資産へ移動したり、偵察データを使ってより深刻な二次攻撃を仕掛けたりする可能性があります。攻撃者の偵察ツールキットを拡大させたり、横移動やフィッシングの障壁を下げたりする理由はありません。できるだけ早くパッチを適用してください。」
脆弱性は以下の通りです。
- CVE-2025-41250:VMwareの仮想化ソフトウェアの集中管理プラットフォームであるvCenterにおけるSMTPヘッダーインジェクションの脆弱性。アドバイザリによれば、vCenterでスケジュールタスクを作成する権限を持つ非管理者権限の悪意あるアクターが、スケジュールタスクの通知メールを操作できる可能性があるとのことです。
「認証が必要なため、悪用の可能性は限定的と思われます」と、SANS Instituteの研究部長Johannes Ullrich氏はコメントしています。 - CVE-2025-41251:同社のネットワーク仮想化ソリューションであるNSXにおける脆弱なパスワードリカバリ機構の脆弱性。アドバイザリによれば、認証されていない悪意あるアクターがこの脆弱性を悪用して有効なユーザー名を列挙できる可能性があり、ブルートフォース攻撃につながる可能性があります。
- CVE-2025-41252:同じくNSXにおけるユーザー名列挙の脆弱性。アドバイザリによれば、認証されていない悪意あるアクターがこの脆弱性を悪用して有効なユーザー名を列挙できる可能性があり、不正アクセスの試行につながる可能性があります。
NSAはCSOの締め切りまでにコメントできませんでした。
「脆弱性としては、ユーザーを列挙できることは軽微であり、パスワードリセットフォームでは一般的です」とUllrich氏は述べています。「多くのパスワードリセット機能は、リセットしようとしているアカウントが存在しない場合、その旨をユーザーに知らせます。これを利用して存在するアカウントを特定できます。」
このバグはパッチが必要ですが、彼はそれを高優先度とは見ていません。「ユーザー列挙はブルートフォース攻撃を効率化する可能性がありますが、ブルートフォースはそれがなくても発生し得ます。CISOは、例えばWebアプリケーションファイアウォールやvCenterの設定オプションなど、ブルートフォース攻撃がどのように軽減されているかを確認すべきです。」
また、vCenterはインターネットに公開すべきではなく、VPN経由でアクセスすべきだと付け加えました。
影響を受ける製品はNSXおよびvCenterに加え、統合型ソフトウェア定義データセンター(SDDC)プラットフォームであるVMware Cloud Foundation、VMware Telco Cloud Platform、VMware Telco Cloud Infrastructureです。
これらの脆弱性は、仮想化環境に関連するリスクの増大と複雑性の高まりを浮き彫りにしているとCypferのDubrovsky氏は述べています。「これらの脆弱性自体にリモートコード実行の可能性がある証拠はありませんが、一部のメールフローの改ざんや、有効なアカウントリストなど追加情報を得るためのシステム調査の手段を提供する可能性があります。」
これはリスクが高いと彼は述べています。なぜなら、多くの攻撃シナリオで脅威アクターは有効な認証情報へのアクセスを必要とするからです。「ダークウェブではこのような情報が盛んに売買されており、脅威アクターは環境への足掛かりを得て、横移動や権限昇格によって制限された機密情報を持ち出したり、システムの暗号化や他の被害を引き起こしたりするための機会を拡大できます」と述べています。
彼は、多くの脅威アクターが製品に付属するデフォルト認証情報を含む辞書を使ってパスワードやユーザー名を推測していること、そして多くの組織がそれらを変更し忘れていることが問題だと指摘しました。デフォルト認証情報の変更を義務付けるITリーダーは、脅威アクターが認証情報ペアのログインID部分を推測するのにかかる時間を増やします。一方で、これらのバグは攻撃者の作業を容易にします。
「これらの[VMware]脆弱性を利用することで、特別なアクセス権がなくても脅威アクターはシステム上の有効なアカウントを列挙でき、これは実質的に認証情報ペア(ログイン/パスワード)の約50%を推測できることになります」と彼は述べています。「これは非常に高いリスクの状態であり、管理者は直ちにパッチを適用し、デフォルトアカウントのログインを使用していないことを確認すべきです。」
カナダのインシデント対応企業DigitalDefenceの責任者Robert Beggs氏は、SMTP攻撃の脆弱性は重大度が高いにもかかわらず「ある程度限定的」であるようだと述べています。「これは、まだ管理者権限を持たない正規ユーザーによる悪意ある行動が必要です。」
彼は、他の2つの脆弱性が組み合わさることで、攻撃者が正規のユーザー名を特定できるようになる点でDubrovsky氏に同意しました。アクセス認証情報の半分を知ることは、パスワードのブルートフォース推測やパスワードスプレー攻撃などを容易にします。「これにより、これらの攻撃がより確実になり、さまざまなセキュリティ制御によって検出される可能性のある努力を最小限に抑えることができます。認証情報の半分でも知っていることで、セキュリティが低下し、攻撃者にとって容易になります」と述べています。
さらに、「これはログイン保護のための多要素認証(MFA)の重要性を改めて示しています。攻撃者が攻撃の過程でMFAを使用しなければならない場合、アクセス認証情報の半分を知っていることによる利点はほぼ無効化されます」と付け加えました。
