VMware ESXiの脆弱性を悪用したランサムウェア攻撃キャンペーンが確認された。全世界で約3200台のサーバが影響を受けており、攻撃を受けるとデータを暗号化される危険性がある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
フランスのサイバーセキュリティ当局CERT-FR(Centre gouvernemental de veille, d’alerte et de reponse aux attaques informatiques)は2023年2月3日(現地時間)、ハイパーバイザー「VMware ESXi」の脆弱(ぜいじゃく)性を利用したサイバー攻撃キャンペーンが全世界で展開されているとし、アラートを出した。
Censysの調査によれば、全世界で約3200台のVMware ESXiが同サイバー攻撃キャンペーンで侵害を受けているという。
同攻撃キャンペーンは通称「ESXiArgs」と呼ばれており、VMware ESXiで2年前に見つかったOpenSLPのヒープオーバーフローの脆弱(CVE-2021-21974)性を悪用する。これを悪用された場合、リモートから任意のコード実行が可能になる。
攻撃を受けるとランサムウェアによってデータが暗号化される危険があるため、VMware ESXiを迅速にアップデートするか回避策を適用することが呼び掛けられている。
JPCERTコーディネーションセンター(JPCERT/CC)によると、以下の製品とバージョンが影響を受ける。
JPCERT/CCは「同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性がある」と指摘している。
VMwareはCVE-2021-21974を修正したVMware ESXiのバージョンを公開済みだ。古いバージョンのまま脆弱性の修正を適用していないのであれば、セキュリティアドバイザリに従って直ちにアップデートを適用することが推奨される。アップデートが未適用の場合、既にサイバー攻撃を受けてコードの削除などが実行された可能性もあるため、システムスキャンを実施して侵害の兆候を調査しておきたい。
VMwareは同社のブログで、対象となっている脆弱性の回避策を提案している。アップデートが困難な場合はブログの説明に従ってSLPサービスを無効化し一時的に回避策を取ることも検討してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.