VMware logo

Lansweeper によって収集された 45,000 台を超える VMware ESXi サーバーがサポート終了 (EOL) に達し、延長サポート契約を購入しない限り、VMware はソフトウェアとセキュリティの更新プログラムを提供しなくなります

Lansweeper は、企業ネットワーク上で実行しているハードウェアとソフトウェアを追跡できる資産管理および検出ソフトウェアを開発しており、2022 年 10 月 15 日の時点で、VMware ESXi 6.5 および VMware ESXi 6.7 はサポートが終了。

テクニカル サポートのみを受け、セキュリティ アップデートを受けられないため、ソフトウェアが脆弱性のリスクにさらされることがわかっています。

同社は 6,000 人の顧客からのデータを分析し、79,000 台の VMware ESXi サーバーがインストールされていることを発見しました。

これらのサーバーのうち、36.5% (28,835) が 2016 年 11 月にリリースされたバージョン 6.7.0 を実行し、21.3% (16,830) が 2020 年 4 月にリリースされたバージョン 6.5.0 を実行しています。

Lansweeper の調査結果は憂慮すべきもので、57% がリスクの高い期間に入るのとは別に、かなり前に EOL に達した 3.5.0 から 5.5.0 の範囲のさらに古いバージョンを実行している別の 15.8% のインストールもあるためです

要約すると、現時点では 4 台の ESXi サーバーのうち約 1 台 (26.4%) のみがサポートされており、2025 年 4 月 2 日まで定期的なセキュリティ アップデートが引き続き提供されます。

ネットスキャンで検出された VMWare のバージョン
ネットスキャンで検出された VMWare バージョン(Lansweeper)

ESXi 6.5 および 6.7 のテクニカル ガイダンスは 2023 年 11 月 15 日まで続きますが、これはセキュリティ リスクの軽減を含まない実装の問題に関するものです。

古いバージョンを引き続き安全に使用するには、別途購入が必要な 2 年間の延長サポートを申し込む必要があります。ただし、これにはサードパーティ ソフトウェア パッケージの更新は含まれません。

すべての VMware ソフトウェア製品の EOL の日付の詳細については、こちらを参照してください

何を意味するのか

ソフトウェア製品がサポート終了日に達すると、定期的なセキュリティ アップデートが停止します。

これは、管理者が事前に計画を立て、すべての展開を新しいリリースにアップグレードしている必要があることを意味しています

VMware がこれらの古いバージョンに対していくつかの重要なセキュリティ パッチを引き続き提供する可能性は低いとは言えませんが、保証されているわけではなく、発見されたすべての新しい脆弱性に対してパッチをリリースするわけではありません。

サポートされていない ESXi サーバーがパッチなしで長期間使用されると、非常に多くのセキュリティ脆弱性が蓄積されるため、攻撃者は複数の方法で侵害することができます。

ESXi が仮想マシンをホストしているため、サーバーを攻撃すると、ビジネス オペレーションに重大かつ大規模な混乱を引き起こす可能性があります。

今年、ESXi VM は、 Black BastaRedAlertGwisinLockerHiveCheersランサムウェア ギャングなどの標的になりました。

ごく最近、Mandiant は、ハッカーが VMware ESXi ハイパーバイザー上で持続性を確立する新しい方法を発見したことを発見しました。これにより、ハッカーは検出されずにサーバーとホストされた VM を制御できます。

とはいえ、ESXi はすでに攻撃者から十分に注目されているため、古くて脆弱なバージョンのソフトウェアを実行することは、間違いなく間違った考え方といえるでしょう