VMware ESXiに脆弱性 ランサムウェアグループの悪用を確認済みのため注意：セキュリティニュースアラート

MicrosoftはランサムウェアグループがVMware ESXiの認証バイパス脆弱性「CVE-2024-37085」を悪用していると伝えた。この脆弱性は共通脆弱性評価システムで警告レベルに位置付けられており、修正が推奨されている。

[後藤大地，有限会社オングス]

　Microsoftは2024年7月29日（現地時間）、ランサムウェアグループが「VMware ESXi」に存在する脆弱（ぜいじゃく）性を悪用していると伝えた。悪用されている脆弱性は「CVE-2024-37085」として認識されており、Microsoft Security Vulnerability Research（MSVR）を通じてVMwareに報告されている。

ランサムウェアグループによるVMware ESXiの脆弱性悪用事例

　CVE-2024-37085はVMware ESXiに存在する認証バイパスの脆弱性だ。共通脆弱性評価システム（CVSS）のスコア値6.8で、深刻度「警告」（Medium）に位置付けられている。

　この脆弱性はVMware ESXiにデフォルトで用意されているESXiホストへの管理アクセスを持つ「ESXi Admins」という名前の「Active Directory」（AD）グループが関係している。このグループを削除したとしても十分なAD権限を持つ攻撃者が再び作成し、このグループにユーザーを追加することでESXiホストへのフルアクセスができてしまう。

　Microsoftの調査によると、Storm-0506やStorm-1175、Octo Tempest、Manatee Tempestといったランサムウェアグループが、この脆弱性を利用した攻撃手法を採用しているという。最近の攻撃例として北米のエンジニアリング会社がStorm-0506による「Black Basta」ランサムウェアの影響を受けた事例が挙げられており、Microsoftはこの攻撃にVMware ESXiの脆弱性が悪用されたと結論付けている。

　この脆弱性の影響を受けるバージョンは以下の通りだ。

• VMware ESXi 8.0
• VMware ESXi 7.0
• VMware Cloud Foundation 5.x
• VMware Cloud Foundation 4.x

　この脆弱性が修正されたバージョンは以下の通りだ。

• VMware ESXi 8.0 Update 3
• VMware Cloud Foundation 5.2

　影響を受ける製品を使用する全ての組織に対し、脆弱性が修正された最新バージョンにアップデートすることが強く推奨されている。なお、VMware ESXi 7.0および「VMware Cloud Foundation 4.x」に対するパッチの適用は予定されていないため、これらのバージョンの製品を使用している組織はアップグレードする必要がある。