概要:CISAがVMware Toolsの脆弱性に対する警告を発令
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、BroadcomのVMware Aria OperationsおよびVMware Toolsソフトウェアにおける高深刻度の脆弱性(CVE-2025-41244)が悪用されているとして、米政府機関に対しシステム保護を命じました。この脆弱性は1ヶ月前にパッチが適用されましたが、VMware Toolsがインストールされ、SDMPが有効なAria Operationsによって管理されている仮想マシン(VM)において、非管理者権限を持つローカル攻撃者が同じVM上でroot権限に昇格することを可能にします。
CISAは、この脆弱性を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加しました。これは、サイバーセキュリティ機関が実際に悪用されていると認定したセキュリティバグのリストです。
連邦機関への指示と期限
連邦政府の行政機関(FCEB機関)は、2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、11月20日までにシステムにパッチを適用し、現在進行中の攻撃から保護することが義務付けられています。FCEB機関には、国土安全保障省、エネルギー省、財務省、保健福祉省などの非軍事機関が含まれます。
BOD 22-01は連邦機関にのみ適用されますが、CISAはすべての組織に対し、この脆弱性へのパッチ適用を最優先するよう強く促しています。CISAは、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府のシステムに重大なリスクをもたらす」と警告しています。また、「ベンダーの指示に従って緩和策を適用するか、クラウドサービスについては適用されるBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」と述べています。
中国の脅威アクター「UNC5174」による悪用
Broadcomは、CVE-2025-41244が現在進行形で悪用されていると指摘しています。欧州のサイバーセキュリティ企業NVISOのMaxime Thiebaut氏が、中国政府系脅威アクター「UNC5174」が2024年10月中旬からこの脆弱性を攻撃に悪用していると報告してから1ヶ月後のことです。
Thiebaut氏は当時、CVE-2025-41244が悪用され、脆弱なVMware Aria Operations(認証情報ベースモード)およびVMware Tools(認証情報なしモード)を実行しているシステムで権限昇格が可能となり、最終的にVM上でrootレベルのコード実行を可能にする概念実証コードも公開しました。
Google Mandiantのセキュリティアナリストは、UNC5174を中国国家安全部(MSS)の請負業者と位置付けています。彼らは、UNC5174が2023年後半にF5 BIG-IPのリモートコード実行脆弱性(CVE-2023-46747)を悪用した攻撃の後、米国の防衛請負業者、英国政府機関、アジアの機関のネットワークへのアクセスを販売していることを確認しました。2024年2月には、UNC5174はConnectWise ScreenConnectの脆弱性(CVE-2024-1709)も悪用して、数百の米国およびカナダの機関に侵入しました。さらに5月には、パッチ未適用のNetWeaver Visual Composerサーバーでリモートコード実行を可能にするNetWeaverの認証なしファイルアップロード脆弱性(CVE-2025-31324)を悪用した攻撃にも関連付けられています。
その他のVMware関連のセキュリティ更新
今年に入ってから、BroadcomはMicrosoft Threat Intelligence Centerによって報告された、他に3つの活発に悪用されているVMwareゼロデイバグ(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)を修正しました。また、米国国家安全保障局(NSA)によって報告された2つの高深刻度VMware NSX脆弱性(CVE-2025-41251およびCVE-2025-41252)に対処するためのセキュリティパッチもリリースしています。