CISAがVMwareの脆弱性を緊急警告
アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)は、VMware vCenter Serverの極めて重要な脆弱性が積極的に悪用されていると警告し、連邦機関に対し、3週間以内にサーバーを保護するよう命じました。
脆弱性の詳細と深刻な影響
このセキュリティ上の欠陥(CVE-2024-37079)は、2024年6月にパッチが適用されましたが、vCenter ServerのDCERPCプロトコル実装におけるヒープオーバーフローの脆弱性に起因しています。vCenter Serverへのネットワークアクセスを持つ攻撃者は、特別な細工を施したネットワークパケットを送信することでこの脆弱性を悪用し、標的システムに対する権限やユーザーの操作を必要としない、低複雑度の攻撃でリモートコード実行(RCE)を引き起こす可能性があります。
CVE-2024-37079に対する回避策や緩和策は存在しないため、Broadcomは顧客に対し、最新のvCenter ServerおよびCloud Foundationリリースにセキュリティパッチをできるだけ早く適用するよう助言しています。
CISAの対応と連邦機関への厳格な指示
金曜日、CISAはこの脆弱性を悪用されている欠陥のカタログに追加し、連邦政府の非軍事部門機関(FCEB)に対し、2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、2月13日までに脆弱なシステムを保護するための3週間の猶予を与えました。FCEB機関には、国務省、司法省、エネルギー省、国土安全保障省などが含まれます。
CISAは「この種の脆弱性は悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府のシステムに重大なリスクをもたらす」と警告しました。また、「ベンダーの指示に従って緩和策を適用するか、クラウドサービスには該当するBOD 22-01ガイダンスに従い、緩和策が利用できない場合は製品の使用を中止する」よう求めています。
Broadcomの確認とVMware製品の継続的な脆弱性
同日、Broadcomは元の勧告を更新し、CVE-2024-37079が実際に悪用されていることを認識していると確認しました。「Broadcomは、CVE-2024-37079の悪用が既に発生していることを示唆する情報を得ている」と注意を促しました。
昨年10月には、CISAは米国政府機関に対し、BroadcomのVMware Aria OperationsおよびVMware Toolsソフトウェアの深刻度の高い脆弱性(CVE-2025-41244)にもパッチを適用するよう命じていました。これは、2024年10月から中国のハッカーによってゼロデイ攻撃で悪用されていました。
さらに昨年、Broadcomは米国国家安全保障局(NSA)によって報告された2つの深刻度の高いVMware NSXの欠陥(CVE-2025-41251およびCVE-2025-41252)に対処するためのセキュリティパッチもリリースしており、Microsoftによって報告された他の3つの活発に悪用されていたVMwareゼロデイ脆弱性(CVE-2025-22224、CVE-2025-22225、およびCVE-2025-22226)も修正しました。