ブロードコムは本日、Microsoft Threat Intelligence Center から報告された攻撃で悪用された 3 件の VMware ゼロデイについて顧客に警告を発しました。
これらの脆弱性(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)は、VMware ESXi、vSphere、Workstation、Fusion、Cloud Foundation、および Telco Cloud Platform を含む VMware ESX 製品に影響を及ぼします。
特権管理者またはroot権限を持つ攻撃者は、仮想マシンのサンドボックスから逃れるために、これらの欠陥を連鎖させることができます。
「これは、仮想マシンのゲストOSに侵入し、特権アクセス(管理者またはroot)を得た攻撃者が、ハイパーバイザー自体に侵入できる状況です。Broadcom は、これらの問題の悪用が “野放し “で発生していることを示唆する情報を持っている。
Broadcom によれば、CVE-2025-22224 は重大な VCMI ヒープオーバーフローの脆弱性で、対象となる VM の管理者権限を持つローカル攻撃者が、ホスト上で実行されている VMX プロセスとしてコードを実行することを可能にします。
CVE-2025-22225はESXiの任意書き込みの脆弱性で、VMXプロセスが任意のカーネル書き込みをトリガーし、サンドボックスからのエスケープを引き起こす可能性があり、CVE-2025-22226はHGFSの情報漏洩の欠陥で、管理者権限を持つ脅威者がVMXプロセスからメモリをリークする可能性があると説明されています。
マイクロソフトの広報担当者は、本日未明にこれら3つのゼロデイに関する詳細について問い合わせたところ、すぐにコメントすることはできなかった。
VMwareの脆弱性は、企業の機密データの保存や転送に一般的に使用されているため、ランサムウェア集団や国家に支援されたハッキング集団による攻撃の標的となることが多い。
直近では、Broadcom が11月に、9月にパッチが適用された VMware vCenter Server の2つの脆弱性を攻撃者が積極的に悪用していると警告しています。1 つは root への権限昇格を可能にする脆弱性(CVE-2024-38813)、もう 1 つは中国のハッキング コンテスト「2024 Matrix Cup」で報告されたリモート コード実行の重大な欠陥(CVE-2024-38812) です。
20204年1月、ブロードコムは、中国の国家ハッカーが少なくとも2021年後半以降、vCenter Serverの重大な脆弱性(CVE-2023-34048)をゼロデイとして悪用し、脆弱なESXiホストにVirtualPitaとVirtualPieのバックドアを展開していたことも明らかにした。
Comments