3万7000以上のESXiに影響 セキュリティツールの監視を回避する3つのゼロデイ脆弱性：Cybersecurity Dive

VMware ESXiなど複数のVMware製品に影響を及ぼす3つのゼロデイ脆弱性が見つかった。これらの脆弱性は既に悪用されているが、Broadcomのサポートポータルの不具合により、一部の顧客は修正パッチをダウンロードできない状況にある。

[Rob Wright，Cybersecurity Dive]

　Broadcomは2025年3月4日（現地時間、以下同）、「VMware ESXi」および「VMware Workstation」「VMware Fusion」を含む複数のVMware製品に影響を及ぼす3つのゼロデイ脆弱（ぜいじゃく）性を公表した（注1）。これらの脆弱性は、既に攻撃で悪用されている。

VMwareの複数製品に見つかった3つのゼロデイ脆弱性と悪用の詳細

　サイバー脅威インテリジェンスを提供する非営利団体であるThe Shadowserver Foundationのスキャンデータによると、3万7000台以上のVMware ESXiのインスタンスが、重大なゼロデイ脆弱性である「CVE-2025-22224」に対して依然として脆弱な状態にあるという。

　ダウングレードされたVMwareのライセンスを持つ一部の顧客は、Broadcomのサポートポータルの問題により、パッチをダウンロードできない状況にある。BroadcomはFAQの中で（注2）、この問題について「優先して対応しており、間もなく修正される」と述べた。

　3つのゼロデイ脆弱性の中で最も深刻なのは「CVE-2025-22224」だ（注3）。これはVMware ESXiおよびVMware Workstationに影響を及ぼす重大なTime-of-Check Time-of-Use（TOCTOU）の脆弱性であり、プログラムが意図していない領域へのデータの書き込みにつながる恐れがある。Broadcomの勧告によると（注4）、ローカルの管理者権限を持つ攻撃者は、ホスト上で動作する仮想マシン実行プロセス（VMX）に対してコードを実行できる可能性があるという。

　今回の3つのゼロデイ脆弱性には「CVE-2025-22225」と「CVE-2025-22226」も含まれる。「CVE-2025-22225」は（注5）、VMware ESXiに影響を及ぼす重大な脆弱性で、任意の書き込みにつながるものだ。同脆弱性の悪用によってVMXのプロセス内における特権を持つ攻撃者がサンドボックスを回避してコードを実行できる可能性がある。

　「CVE-2025-22226」は（注6）、VMware ESXiおよびVMware Workstation、VMware Fusionに影響を及ぼす重大な脆弱性で、情報漏えいにつながるものだ。同脆弱性の悪用によって、特権を持つ攻撃者がVMXのプロセスのメモリ内の情報を漏えいさせる可能性がある。

　セキュリティ研究者のケビン・ボーモント氏は、2025年3月5日のブログ投稿で「これら3つの脆弱性を組み合わせることで、VMエスケープ（ハイパーバイザーエスケープとも呼ばれる）を実行できる」と述べた（注7）。同氏は、脅威検出システムは通常VMwareの環境に対する可視性を欠いているため、このようなエスケープが組織にとって重大な脅威になると強調した。

　「VMware ESXiはブラックボックスの環境であり、EDR（Endpoint Detection and Response）製品などを導入できず、厳重に制限されている。そのため、ハイパーバイザーエスケープが発生すると、攻撃者は全てのセキュリティツールの監視の外に出てしまう。例えば、攻撃者が『Active Directory』のドメインコントローラーのデータベースにアクセスした場合、システムのどの階層でもアラートを発生させることなく操作できたり、データを削除したりすることが可能になる」（ボーモント氏）

　The Shadowserver Foundationのスキャンデータによると、ゼロデイ脆弱性が公表された2025年3月4日の時点で、4万1450台のVMware ESXiのインスタンスが「CVE-2025-22224」に対して脆弱な状態にあった。この数は同年3月5日には3万7322台に減少した。「CVE-2025-22224」に関連する修正がなされていないインスタンスの大半は、中国およびフランス、米国に存在している。

　パッチの適用率は改善しているものの、一部のVMwareの顧客はBroadcomのサポートポータルの問題により、ソフトウェアを更新できない状況にある。BroadcomはFAQの中で「その間、製品内のダウンロード機能を活用してパッチを取得することを推奨する。これが不可能な場合は、非技術的なサポートチケットを発行してサポートを受けてほしい」と述べた。

　Broadcomのサポートポータルの問題が解決されたかどうかは不明である。「Cybersecurity Dive」はポータルの現状についてBroadcomに問い合わせたが、質問に関する直接の回答はなかった。Broadcomの広報担当者は次のように声明を発表した。

　「2025年3月4日に公開されたBroadcomのセキュリティ勧告および技術面に関するFAQでは（注8）（注9）、『VMware Cloud Foundation』のプラットフォームのコンポーネント内で新たに発見され、現在は修正済みの3つの脆弱性について説明している。これらの脆弱性は、Microsoft Threat Intelligence Centerによって適切に報告され、深刻度は『important（重要）』もしくは『critical（重大）』となっている」

　Broadcomの広報担当者は次のようにも述べた。

　「Broadcomは、影響を受けるVCFのプラットフォームに関するコンポーネントの脆弱なバージョンを使用している全ての顧客に対し、セキュリティ勧告で指定された『修正済みのバージョン』への速やかなアップデートを推奨する。これらの脆弱性の悪用により、攻撃者が稼働中の仮想マシンを通じてハイパーバイザーにアクセスできる可能性があるが、そのためには、まず仮想マシン上でローカル権限を取得する必要がある。Broadcomは、実際に脆弱性が悪用された可能性があるとの情報を得ている」

（注1）Broadcom urges customers to patch 3 zero-day VMware flaws（Cybersecurity Dive）
（注2）vmware/vcf-security-and-compliance-guidelines（GitHub）
（注3）CVE-2025-22224（CVE）
（注4）VMSA-2025-0004（BROADCOM）
（注5）CVE-2025-22225（CVE）
（注6）CVE-2025-22226（CVE）
（注7）Use one Virtual Machine to own them all ― active exploitation of VMware ESX hypervisor escape ESXicape（Medium）
（注8）VMSA-2025-0004（BROADCOM）
（注9）vmware/vcf-security-and-compliance-guidelines（GitHub）

原文へのリンク