サイバーニュース.jp

世界のサイバーなニュースを配信

VMware ESXiのゼロデイ脆弱性、公表1年前に悪用か – 中国系ハッカーが関与の疑い

カテゴリ:

VMware ESXiゼロデイ脆弱性が公表前に悪用された可能性

VMware ESXiのゼロデイ脆弱性が、公表される1年以上前から悪用されていた可能性が浮上しました。サイバーセキュリティ企業Huntressの分析によると、中国語を話す脅威アクターが、侵害されたSonicWall VPNアプライアンスを介して、このESXiエクスプロイトツールキットを展開していたと報じられています。

2025年12月の攻撃を分析したHuntressは、ハッカーが洗練された仮想マシン(VM)エスケープを利用したと指摘。これは、2025年3月にゼロデイとして開示された3つのVMware脆弱性を悪用したものとみられています。

攻撃の詳細と脆弱性

今回の攻撃で悪用されたとされる主要な脆弱性は以下の3つです。そのうち1つは重要度が「Critical」に分類されています。

  • CVE-2025-22226(深刻度7.1):HGFSの範囲外読み取りで、VMXプロセスからのメモリリークを許容。
  • CVE-2025-22224(深刻度9.3):VMCI(Virtual Machine Communication Interface)におけるTOCTOU脆弱性で、範囲外書き込みによりVMXプロセスとしてコード実行が可能。
  • CVE-2025-22225(深刻度8.2):ESXiにおける任意の書き込み脆弱性で、VMXサンドボックスからカーネルへのエスケープを許容。

Broadcomは以前、これらのセキュリティ問題が管理者権限を持つ攻撃者によって連鎖的に悪用されることで、VMからの脱出および基盤となるハイパーバイザーへのアクセスが可能になると警告していました。

脆弱性悪用の証拠とタイムライン

Huntressの新しいレポートは、これらの脆弱性を悪用するエクスプロイトチェーンが少なくとも2024年2月には存在していたことを示唆する手がかりを提供しています。エクスプロイトバイナリのPDBパスに「2024_02_19」というフォルダー名が埋め込まれており、このパッケージがゼロデイエクスプロイトとして開発された可能性を強く示唆しています。

このフォルダー名が中国語で「全/完全版エスケープ – 配信」と翻訳されることから、標的がESXi 8.0 Update 3であったと推測されます。初期アクセスは侵害されたSonicWall VPNを経由し、攻撃者は侵害したドメイン管理者アカウントを使いRDP経由でドメインコントローラーに侵入、データ引き出しのための準備を行い、ゲストVMからESXiハイパーバイザーへの脱出を可能にするエクスプロイトチェーンを実行しました。

高度なエクスプロイトツールキット

今回のエクスプロイトツールキットは、以下の主要コンポーネントを含んでいました。

  • MAESTRO (exploit.exe):VMware VMCIデバイスを無効化し、署名されていないエクスプロイトドライバーをKDU経由でロード、エクスプロイトの成功を監視し、その後ドライバーを復元することでVMエスケープを調整する役割を担います。
  • MyDriver.sys:ESXiのバージョン検出、VMXメモリリークと破損、サンドボックスエスケープ、ハイパーバイザーバックドアの展開を含むVMエスケープを実行する、署名されていないカーネルドライバーです。
  • VSOCKpuppet:ESXiホスト上で実行されるELFバックドアで、VSOCK経由でコマンド実行とファイル転送を提供し、従来のネットワーク監視を迂回します。
  • GetShell Plugin (client.exe):ゲストVMから侵害されたESXiホストに接続し、VSOCKpuppetバックドアと対話するために使用されるWindows VSOCKクライアントです。

「client.exe」バイナリに埋め込まれたPDBパスには「2023_11_02」というフォルダー名も含まれており、これがより広範な「vmci_vm_escape」ツールキットの一部であった可能性が示唆されています。研究者らは、脅威アクターがエクスプロイトとポストエクスプロイトツールを分離するモジュール式アプローチを採用している可能性を指摘しています。

帰属と対策

Huntressは、エクスプロイトの挙動(情報リークにHGFS、メモリ破損にVMCI、カーネルへのシェルコードエスケープの使用など)に基づき、Broadcomが公開した3つの脆弱性が悪用された可能性が高いと見ています。一部のビルドパスに簡体字中国語が含まれている一方で、英語のREADMEも存在することから、このツールキットが中国語圏の熟練した開発者によって開発され、他の脅威アクターへの販売または共有も意図されていた可能性が高いと分析されています。

Huntressは、SonicWall VPNが初期侵入経路であると高い確信を持っていますが、組織に対しては、最新のESXiセキュリティアップデートを適用し、早期検出のために提供されているYARAおよびSigmaルールを使用することを推奨しています。

元記事: https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/

投稿をさらに読み込む