VMware ESXiを狙ったランサムウェア攻撃が全世界で展開中 即時対策を

VMware ESXiの脆弱性を悪用したランサムウェア攻撃キャンペーンが確認された。全世界で約3200台のサーバが影響を受けており、攻撃を受けるとデータを暗号化される危険性がある。

[後藤大地，有限会社オングス]

　フランスのサイバーセキュリティ当局CERT-FR（Centre gouvernemental de veille, d’alerte et de reponse aux attaques informatiques）は2023年2月3日（現地時間）、ハイパーバイザー「VMware ESXi」の脆弱（ぜいじゃく）性を利用したサイバー攻撃キャンペーンが全世界で展開されているとし、アラートを出した。

　Censysの調査によれば、全世界で約3200台のVMware ESXiが同サイバー攻撃キャンペーンで侵害を受けているという。

CERT-FRはESXiArgsに関する注意喚起を発表した（出典：CERT-FRのWebサイト）

全世界でサイバー攻撃が展開　影響を受けるVMware ESXiのバージョンは？

　同攻撃キャンペーンは通称「ESXiArgs」と呼ばれており、VMware ESXiで2年前に見つかったOpenSLPのヒープオーバーフローの脆弱（CVE-2021-21974）性を悪用する。これを悪用された場合、リモートから任意のコード実行が可能になる。

　攻撃を受けるとランサムウェアによってデータが暗号化される危険があるため、VMware ESXiを迅速にアップデートするか回避策を適用することが呼び掛けられている。

　JPCERTコーディネーションセンター（JPCERT/CC）によると、以下の製品とバージョンが影響を受ける。

• VMware ESXi70U1c-17325551より前のバージョン7.x系
• VMware ESXi670-202102401-SGより前のバージョン6.7.x系
• VMware ESXi650-202102101-SGより前のバージョン6.5.x系
• VMware Cloud Foundation 4系 4.2より前のバージョン
• VMware Cloud Foundation 3系 KB82705未適用のバージョン

　JPCERT/CCは「同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性がある」と指摘している。

　VMwareはCVE-2021-21974を修正したVMware ESXiのバージョンを公開済みだ。古いバージョンのまま脆弱性の修正を適用していないのであれば、セキュリティアドバイザリに従って直ちにアップデートを適用することが推奨される。アップデートが未適用の場合、既にサイバー攻撃を受けてコードの削除などが実行された可能性もあるため、システムスキャンを実施して侵害の兆候を調査しておきたい。

　VMwareは同社のブログで、対象となっている脆弱性の回避策を提案している。アップデートが困難な場合はブログの説明に従ってSLPサービスを無効化し一時的に回避策を取ることも検討してほしい。