セキュリティ

SECURITY

公開：2024-08-01

ESXi hypervisorの脆弱性CVE-2024-37085が発覚、ランサムウェア攻撃者による悪用の危険性が浮上

text: XEXEQ編集部

記事の要約

• ESXi hypervisorの脆弱性CVE-2024-37085を発見
• 複数のランサムウェア攻撃者が脆弱性を悪用
• VMwareがセキュリティアップデートをリリース

ESXi hypervisorの脆弱性CVE-2024-37085の詳細

Microsoftの研究者は、ESXi hypervisorに存在する脆弱性CVE-2024-37085を発見し、複数のランサムウェア攻撃者によって悪用されていることを明らかにした。この脆弱性は、ドメイン参加済みのESXi hypervisorに対して、デフォルトで完全な管理者権限を付与されるドメイングループに関連している。攻撃者はこの脆弱性を悪用することで、hypervisorのファイルシステムを暗号化し、ホストされているサーバーの機能に影響を与える可能性がある。^[1]

Microsoftは調整された脆弱性開示（CVD）を通じてVMwareにこの発見を報告し、VMwareはセキュリティアップデートをリリースした。この脆弱性の悪用方法には、ドメインに「ESX Admins」グループを追加してユーザーを追加する方法、既存のグループ名を「ESX Admins」に変更する方法、ESXi hypervisor権限のリフレッシュを利用する方法の3つが特定された。

この脆弱性の影響は深刻で、攻撃者がESXi hypervisorに対して完全な管理者アクセス権を取得することができる。これにより、hypervisorのファイルシステムの暗号化、ホストされている仮想マシンへのアクセス、データの流出、ネットワーク内での横断的移動が可能になる。MicrosoftはESXiサーバー管理者に対し、VMwareがリリースしたアップデートの適用を強く推奨している。

ESXi hypervisorの脆弱性に関する考察

ESXi hypervisorの脆弱性CVE-2024-37085の発見は、仮想化環境のセキュリティに新たな課題を投げかけている。今後、同様の権限昇格の脆弱性が他の仮想化プラットフォームでも発見される可能性があり、業界全体でのセキュリティ強化が求められるだろう。また、この脆弱性を悪用したランサムウェア攻撃の増加が予想され、組織はバックアップ戦略の見直しと、仮想環境の監視強化を迫られることになるかもしれない。

今後、VMwareには脆弱性の修正だけでなく、ESXi hypervisorの権限管理システムの根本的な見直しが期待される。例えば、ドメイングループの検証プロセスの強化や、特権アクセスの動的な制御機能の導入などが考えられる。同時に、ユーザー側でも複雑な権限設定を容易に管理できるツールや、異常なアクセスパターンを検出する高度な監視システムの開発が望まれる。

長期的には、この事例を契機に、仮想化環境全体のセキュリティアーキテクチャの再考が必要になるかもしれない。ゼロトラストモデルの導入や、AIを活用した異常検知システムの統合など、より高度なセキュリティアプローチの採用が進むことが期待される。同時に、クラウドプロバイダーと顧客間の責任分担モデルの明確化や、業界標準のセキュリティベストプラクティスの確立も重要な課題となるだろう。

参考サイト

1. ^ Microsoft Security. 「Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption | Microsoft Security Blog」. https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/, (参照 24-08-01).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧