CISAは、ランサムウェア攻撃で悪用されるVMware ESXi認証バイパスの脆弱性に対し、米国連邦民間行政機関(FCEB)にサーバーの安全確保を命じた。
ブロードコムの子会社であるVMwareは、6月25日にマイクロソフトのセキュリティ研究者が発見したこの欠陥(CVE-2024-37085)をESXi 8.0 U3のリリースで修正した。
CVE-2024-37085は、攻撃者が「ESX Admins」グループに新しいユーザーを追加することを可能にするもので、デフォルトでは存在しないが、ESXiハイパーバイザー上で高い権限を得た後に追加できる。
この脆弱性を悪用するためには、ユーザーによる操作と高い権限が必要であり、VMwareはこの脆弱性を中程度の深刻度と評価しているが、マイクロソフトは週明けに、いくつかのランサムウェア集団がすでにこの脆弱性を悪用して、ドメインに接続されたハイパーバイザー上で完全な管理者権限に昇格していることを明らかにした。
いったん管理者権限を得ると、VMから機密データを盗み出し、被害者のネットワークを横方向に移動し、ESXiハイパーバイザーのファイルシステムを暗号化し、機能停止や業務の中断を引き起こす。
これまでのところ、CVE-2024-37085は、Storm-0506、Storm-1175、Octo Tempest、Manatee Tempestとして追跡されているランサムウェアのオペレーターによって悪用され、AkiraおよびBlack Bastaランサムウェアを展開しています。
連邦政府機関は3週間以内に脆弱なシステムを保護せよ
マイクロソフト社の報告を受けて、CISAはこのセキュリティ脆弱性を「Known Exploited Vulnerabilities(既知の悪用される脆弱性)」カタログに追加し、脅威行為者が攻撃にこの脆弱性を活用していることを警告している。
2021年11月に発行された拘束力のある運用指令(BOD 22-01)によると、連邦民間行政機関(FCEB)機関は現在進行中のCVE-2024-37085の悪用からシステムを保護するために、8月20日までの3週間を有する。
この指令は連邦政府機関にのみ適用されるが、サイバーセキュリティ機関はすべての組織に対し、この欠陥を優先的に修正し、ネットワークを標的とする可能性のあるランサムウェア攻撃を阻止するよう強く求めた。
「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とCISAは警告している。
ここ数年、ランサムウェアの標的は被害者のESXi仮想マシン(VM)に移行しており、特に被害者が機密データの保存や重要なアプリケーションのホスティングにESXi仮想マシンを使用するようになってからは、その傾向が顕著になっている。
しかしこれまでは、ESXiの特定のセキュリティ脆弱性(CVE-2024-37085など)を悪用するのではなく、VMを暗号化するように設計されたLinuxロッカーを主に使用してきた。
Comments