出典: The Hacker News – https://thehackernews.com/2025/10/cisa-flags-vmware-zero-day-exploited-by.html
原題: CISA Flags VMware Zero-Day Exploited by China-Linked Hackers in Active Attacks
中国系ハッカーによるVMwareのゼロデイ脆弱性悪用に関するCISAの警告
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、Broadcom傘下のVMware製品に存在する高深刻度のゼロデイ脆弱性が中国系ハッカーによって積極的に悪用されていることを警告しました。この脆弱性は既に修正されていますが、依然として注意が必要です。
主要なポイント
- 脆弱性の概要(CVE-2025-41244): VMware ToolsおよびVMware Aria Operationsに存在し、攻撃者がローカル権限からルート権限に昇格できる高深刻度の脆弱性(CVSSスコア7.8)です。
- 悪用状況: 2024年10月中旬以降、中国に関連する脅威グループ(Google MandiantがUNC5174として追跡)がこのゼロデイ脆弱性を積極的に悪用していることが確認されています。
- 修正と対応: VMwareは先月この脆弱性を修正しましたが、連邦文民行政機関(FCEB)は2025年11月20日までに緩和策の適用を義務付けられています。
- 関連脆弱性: 同時に、XWikiの重大な評価注入(eval injection)脆弱性もKEVカタログに追加され、こちらも未知の脅威アクターによる悪用試行が報告されています。
技術的な詳細と背景情報
CVE-2025-41244は、VMware ToolsおよびVMware Aria Operationsにおける「不安全な操作を伴う権限設定の脆弱性」です。具体的には、管理者権限を持たないローカルユーザーが、SDMP(Secure Data Management Platform)が有効化された仮想マシンにアクセスできる場合、この脆弱性を利用して同一仮想マシン内でルート権限を取得可能となります。
この種の脆弱性は「ローカル権限昇格(Local Privilege Escalation)」と呼ばれ、攻撃者が限定的なアクセス権からシステムの完全な制御権を奪うことを可能にします。NVISO Labsは2024年5月のインシデント対応中にこの脆弱性を発見し、その後の調査で悪用が確認されました。
また、XWikiのeval injection脆弱性は、ゲストユーザーでも特別に細工されたリクエストを送信することで任意のリモートコード実行が可能になるもので、暗号通貨マイナーの配布などに悪用されています。
影響と重要性
この脆弱性の悪用により、攻撃者は仮想環境内で最も高い権限を取得し、システム全体を乗っ取ることが可能となります。特に企業や政府機関の仮想化環境は重要なデータやサービスを運用しているため、被害が拡大すると甚大な影響を及ぼします。
さらに、中国系の高度な脅威グループが既にこの脆弱性を利用していることから、迅速な対応が求められています。連邦文民行政機関に対する期限付きの緩和策適用義務は、組織全体でのセキュリティ強化の重要性を示しています。
まとめ
VMwareのゼロデイ脆弱性CVE-2025-41244は、既に中国系ハッカーによって積極的に悪用されている深刻な問題です。管理者権限を持たないユーザーでもルート権限を取得できるため、仮想環境のセキュリティリスクが大幅に高まっています。最新のパッチ適用と緩和策の実施が急務であり、関連するXWikiの脆弱性にも注意が必要です。組織はCISAの警告を真摯に受け止め、早急に対策を講じることが求められます。
