🛡 概要
VMwareの新たに修正された高危険度の脆弱性(CVE-2025-41244)が、2024年10月からゼロデイ攻撃として悪用されていることが報告されています。この脆弱性は、VMware Aria OperationsとVMware Toolsに影響を及ぼし、特に権限昇格によるコード実行が可能です。Broadcomはこの脆弱性に対するパッチを今週リリースしましたが、攻撃の実態については言及していません。通常、Broadcomの公表はゼロデイ攻撃が発生した場合に警告を行いますが、今回はその情報が欠落しています。
🔍 技術詳細
この脆弱性は、CVE-2025-41244として追跡され、CVSSスコアは7.8です。NVISOによると、中国の国家支援の脅威アクターUNC5174がこの脆弱性を利用しており、最近ではサイバーセキュリティ企業SentinelOneに対する攻撃が関連付けられています。この脆弱性は、VMware Aria Operationsのサービスおよびアプリケーション発見機能に影響を与え、従来の認証ベースのサービス発見と認証なしのサービス発見の両方に関与しています。特に、VMware Toolsが不正なバイナリを実行することで、権限昇格が可能になります。NVISOは、open-vm-toolsが主要なLinuxディストリビューションに含まれていることも指摘しています。
⚠ 影響
CVE-2025-41244の成功した悪用は、特権のないユーザーがルート権限でコードを実行できることを意味します。特に、悪意のあるバイナリを/tmp/httpdフォルダに配置することで、UNC5174はこの脆弱性を利用していました。BroadcomはVMware Cloud Foundation、vSphere Foundation、Aria Operations、Telco Cloud Platform、およびVMware Toolsの新しいリリースでこの脆弱性を修正しましたが、open-vm-toolsの修正はLinuxベンダーによって配布される予定です。企業は、異常な子プロセスを監視することでCVE-2025-41244の悪用を検出するべきです。
🛠 対策
企業はCVE-2025-41244の悪用を防ぐために、まずは最新のパッチを適用することが必要です。また、監視が行われていない環境では、古い認証ベースのモードにおけるメトリクス収集スクリプトやその出力の分析を行うことが重要です。NVISOは、システムバイナリを模倣する広範な実践が、他のマルウェアストレインにも無意識のうちに特権昇格の恩恵を与えている可能性があると警告しています。この脆弱性は、悪意のあるアクターによって簡単に発見される可能性があるため、セキュリティ対策を強化することが求められます。
