CISA KEVに追加されたVMware vCenterの重大な脆弱性CVE-2024-37079、実環境で悪用確認

実環境で悪用されるVMware vCenterの重大な脆弱性

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Broadcom VMware vCenter Serverの重大なヒープオーバーフロー脆弱性であるCVE-2024-37079が実環境で悪用されていることを確認し、Known Exploited Vulnerabilities (KEV)カタログに追加しました。この脆弱性はVMwareが2024年6月にパッチを公開済みで、CVSSスコア9.8という深刻度を示しています。

技術的詳細

CVE-2024-37079は、VMware vSphere環境の中心的な管理プラットフォームであるVMware vCenter Serverに存在するヒープベースのバッファオーバーフロー脆弱性です。この脆弱性は、不適切な入力検証により発生し、認証されていない攻撃者が脆弱なシステム上で昇格した権限を持つ任意のコードを実行することを可能にします。攻撃が成功すると、システムの完全な侵害につながり、機密データへの不正アクセス、ネットワーク内での横移動、さらには追加の悪意あるペイロードの展開が行われる可能性があります。

VMwareは、この脆弱性に対するパッチを2024年6月にセキュリティアドバイザリVMSA-2024-0012の一部としてリリースしました。影響を受けるバージョンは以下の通りです：

• VMware vCenter Server 7.0（7.0 U3rより前の全てのアップデート）
• VMware vCenter Server 8.0（8.0 U2bより前の全てのアップデート）

影響分析

CISAのKEVカタログへのCVE-2024-37079の追加は、連邦機関や民間セクターの組織にとって高リスクの脅威であることを示しています。Binding Operational Directive (BOD) 22-01に基づき、米国連邦民間機関は2025年2月14日までにこの脆弱性を修正することが義務付けられています。しかし、CISAは、この脆弱性が実環境で悪用されていることを踏まえ、全ての組織、州・地方自治体、重要インフラ事業者に対してもパッチ適用を優先するよう強く推奨しています。

セキュリティ研究者らは、脅威アクターがこの脆弱性を悪用して以下の行為を行っていることを観測しています：

• エンタープライズネットワークへの初期アクセスの取得
• 管理者レベルへの権限昇格
• ランサムウェア、スパイウェア、バックドアの展開
• 機密データの窃取

推奨対策

セキュリティチームは、リスクを軽減するために以下の対策を講じるべきです：

1. 即時パッチ適用：VMware vCenter Serverを最新バージョンにアップグレードします：

   • 7.0 U3r以降
   • 8.0 U2b以降

2. 脆弱なシステムの隔離：パッチ適用がすぐに実施できない場合は、vCenter Serverインスタンスへのネットワークアクセスを信頼できるIPアドレスのみに制限します。

3. 悪用の監視：不正な活動（例：異常な認証試行、疑わしいプロセスの実行、予期しないネットワーク接続など）を検出するために、侵入検知/防止システム（IDS/IPS）を導入します。

4. ログの確認：以下のような侵害の兆候がないか、vCenter Serverのログを監査します：

   • ログイン失敗の試行
   • 不正な設定変更
   • 異常なアウトバウンドトラフィック

5. CISAのガイダンスに従う：追加の緩和策や侵害の痕跡（IOC）については、CISAのKEVカタログエントリを参照してください。

結論

CVE-2024-37079は、仮想化管理にVMware vCenter Serverを利用している組織にとって重大な脅威です。実環境での悪用が確認されているため、セキュリティチームは迅速にパッチを適用し、悪意ある活動を監視し、潜在的な攻撃に対する環境を強化する必要があります。修正を怠ると、深刻な業務停止、データ漏洩、ランサムウェア被害につながる可能性があります。