出典: The Hacker News – https://thehackernews.com/2025/10/cisa-flags-vmware-zero-day-exploited-by.html
原題: CISA Flags VMware Zero-Day Exploited by China-Linked Hackers in Active Attacks
CISA、中国系ハッカーが悪用するVMwareのゼロデイ脆弱性を警告
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Broadcom傘下のVMware製品に存在する高深刻度のゼロデイ脆弱性を警告しました。この脆弱性は既に中国系の脅威アクターによって実際に悪用されており、迅速な対策が求められています。
主要なポイント
- 脆弱性の概要:CVE-2025-41244はVMware ToolsおよびVMware Aria Operationsに影響し、攻撃者が対象システム上でルート権限を取得可能なローカル権限昇格の脆弱性です。
- 実際の悪用報告:NVISO Labsによると、2024年10月中旬以降、未知の脅威アクターがこのゼロデイ脆弱性を悪用しており、Google Mandiantはこの攻撃を中国関連のUNC5174グループに帰属させています。
- 修正と対応期限:Broadcomは先月この脆弱性を修正済みですが、連邦民間行政機関(FCEB)は2025年11月20日までに緩和策を適用する義務があります。
- その他の重大脆弱性:KEVカタログにはXWikiのevalインジェクション脆弱性も追加されており、こちらもリモートコード実行の危険性が指摘されています。
技術的な詳細や背景情報
CVE-2025-41244は、VMware ToolsおよびVMware Aria Operationsにおける権限設定の不備に起因するローカル権限昇格の脆弱性です。具体的には、管理者権限を持たないローカルユーザーが、SDMP(Software Defined Management Platform)が有効な環境でこの脆弱性を悪用することで、同一仮想マシン上でroot権限を取得できます。
この種の脆弱性は、仮想化環境におけるセキュリティリスクを高めるものであり、攻撃者にとってはシステムの完全制御を奪取する絶好の機会となります。NVISO Labsは5月のインシデント対応時にこの脆弱性を発見し、10月以降に悪用が確認されましたが、ペイロードの詳細は非公開です。
また、XWikiのevalインジェクション脆弱性は、任意のゲストユーザーが特別に細工したリクエストを送信することで、リモートコード実行が可能となるもので、暗号通貨マイナーの配布試行も観測されています。
影響や重要性
この脆弱性は、仮想化環境を利用する多くの企業や組織にとって深刻なリスクとなります。特に、管理者権限を持たないユーザーが容易にroot権限を取得できるため、内部からの攻撃や侵害が拡大する恐れがあります。
また、中国系の高度な脅威グループによる実際の悪用が確認されていることから、攻撃の現実性と緊急性が高いことがわかります。連邦政府機関に対しては厳格な対応期限が設けられており、民間企業においても早急なパッチ適用が推奨されます。
まとめ
BroadcomのVMware製品に存在するCVE-2025-41244のゼロデイ脆弱性は、既に中国系脅威アクターによって悪用されている深刻な問題です。仮想化環境のセキュリティを守るためには、最新のパッチ適用と脆弱性管理が不可欠です。また、XWikiのevalインジェクション脆弱性も含め、複数のリスクに対して包括的な対策を講じる必要があります。
ユーザーはCISAやBroadcomからの公式情報を注視し、速やかな対応を心がけましょう。
