MicrosoftがVMware ESXi権限昇格の脆弱性悪用を確認、アップデートを

画像提供：マイナビニュース

Microsoftは7月29日(米国時間)、「Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption｜Microsoft Security Blog」において、サイバー攻撃者が用いたVMware ESXiの権限昇格の脆弱性を特定したと伝えた。特定された脆弱性は「CVE-2024-37085」として追跡されており、その深刻度は警告(Warning)と評価されている。

○脆弱性「CVE-2024-37085」の概要

「CVE-2024-37085」は権限昇格の脆弱性。十分なActive Directory(AD)権限を持つ攻撃者は、管理グループ(デフォルトでは「ESXi Admins」)を作成することで、ユーザー管理にADを使用するよう設定されていたESXiホストへの完全な管理アクセス権を取得できる可能性がある。

Microsoftによると、この脆弱性は脅威グループ「Storm-0506」「Storm-1175」「Octo Tempest」「Manatee Tempest」などが、ランサムウェア「Akira」および「Black Basta」を展開するために使用したという。

脆弱性の根本原因は、「ESXi Admins」グループにデフォルトで管理者権限が与えられていることにある。グループのメンバーシップはセキュリティ識別子(SID: Security IDentifier)ではなく名前で区別されるため、同名のグループを作成できるユーザーは誰でも管理者権限を取得できる。Microsoftの研究者が特定した具体的な悪用手法は次の2つ。

「ESXi Admins」グループを作成する。この手法が積極的に悪用されている
既存のグループ名を「ESXi Admins」に変更する。この手法の悪用は確認されていない

Microsoftの調査によると「ESXi Admins」グループの管理者権限は、ドメイン内の他のグループを管理グループに割り当てた場合においてもすぐには削除されない。そのため、管理グループの作成だけでは安全とは限らない点に注意が必要。
○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

VMware ESXi 8.0
VMware ESXi 7.0
VMware Cloud Foundation 5.x
VMware Cloud Foundation 4.x