Source: https://thehackernews.com/2025/09/urgent-china-linked-hackers-exploit-new.html
🛡 概要
2024年10月中旬より、中国系ハッカー集団UNC5174がVMwareの新たなゼロデイ脆弱性を悪用していることが報告されています。この脆弱性はCVE-2025-41244で、CVSSスコアは7.8です。影響を受ける製品には、VMware Cloud FoundationやVMware Toolsが含まれています。特に、非管理者権限のユーザーがVMにアクセスし、特定の条件下で権限を昇格させることが可能です。この問題は、VMwareからの最新のアドバイザリーで明らかにされました。
🔍 技術詳細
CVE-2025-41244は、VMware Toolsのget_version()関数に起因するローカル特権昇格の脆弱性です。この関数は、リスニングソケットを持つ各プロセスに対して正規表現を使用し、バイナリがそのパターンに一致するかどうかを確認します。しかし、特定の正規表現パターンがシステム以外のバイナリにも一致してしまうため、非特権ユーザーが悪意のあるバイナリを配置し、特権昇格を引き起こすことが可能になります。この脆弱性は、VMwareのメトリック収集サービスが実行される際に利用され、結果としてroot権限を取得することができます。
⚠ 影響
この脆弱性の重大な影響は、悪意のあるユーザーが特権のない状態から特権のある状態に昇格できる点です。NVISO Labsによると、UNC5174はこの脆弱性を利用して、特権のないユーザーが特権コンテキストでコードを実行することを可能にしています。これにより、攻撃者はサーバーへの完全な制御を獲得し、データ漏洩やシステムの乗っ取りなどのリスクが高まります。この脆弱性は、広範囲にわたる製品に影響を及ぼすため、迅速な対応が求められます。
🛠 対策
VMwareは、CVE-2025-41244に対する修正を含む新しいバージョンのVMware Toolsをリリースしています。利用者は、最新のパッチを適用することでこの脆弱性を軽減できます。また、システムの監視や不審なアクティビティの検出を強化することも重要です。特に、非特権ユーザーがアクセスできるディレクトリにおいて、不審なバイナリの配置を監視することが求められます。さらに、セキュリティ教育を通じて、ユーザーの意識を高めることも効果的な対策となります。
