Source: https://thehackernews.com/2025/07/fire-ant-exploits-vmware-flaw-to.html
🛡 概要
Fire Antという名の脅威アクターが、VMware ESXiおよびvCenter環境を狙ったサイバー諜報活動を展開しています。この活動は、組織の仮想化およびネットワークインフラを侵害することを目的としており、複雑で巧妙な攻撃手法を用いています。特に、CVE-2023-34048およびCVE-2023-20867という脆弱性が悪用されており、これにより攻撃者はESXiホストやvCenterサーバーへのアクセスを確保しています。Fire Antは、過去のキャンペーンを行ってきたUNC3886と関連があるとされ、持続的なターゲティングが特徴です。
🔍 技術詳細
Fire Antは、VMware vCenter ServerのCVE-2023-34048を悪用し、’vpxuser’サービスアカウントの資格情報を取得しました。これにより、接続されたESXiホストへのアクセスが可能となり、複数のバックドアが展開されました。また、CVE-2023-20867の脆弱性を利用して、ゲスト仮想マシンに直接アクセスし、セキュリティツールの機能を妨害することも確認されています。攻撃者は、V2Rayフレームワークを使用してゲストネットワークトンネリングを行い、ネットワークセグメンテーションの障壁を打破して持続的なアクセスを確保しました。
⚠ 影響
この攻撃により、企業は重要なインフラストラクチャの侵害を受け、データの漏洩やサービスの中断といった深刻な影響が生じる可能性があります。特に、仮想化管理層への侵入は、攻撃者がハイパーバイザーからゲストオペレーティングシステムに対して持続的かつ隠密なアクセスを維持することを可能にします。このような侵害は、通常のエンドポイントセキュリティツールでは検知が難しく、長期的な活動の拠点となる恐れがあります。
🛠 対策
企業は、ESXiホストやvCenterサーバーなどの仮想化インフラに対して、特別な監視と検知の強化が必要です。具体的には、定期的な脆弱性スキャン、ログの監視、異常検知システムの導入が推奨されます。また、ネットワークセグメンテーションを強化し、アクセス制御を厳格にすることで、攻撃者の侵入を防ぐことが重要です。さらに、セキュリティパッチの適用を怠らず、脆弱性情報を常に把握することが求められます。
