VMware vCenterの重大なRCE脆弱性が積極的に悪用中、CISAが警告

VMware vCenterの重大なRCE脆弱性が野放し状態で悪用中、CISAが警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、VMware vCenter Serverにおける重大なリモートコード実行（RCE）脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加し、積極的な悪用が確認されたことを公表しました。連邦機関は、Binding Operational Directive（BOD）22-01に基づき、2024年8月20日までにシステムの保護を義務付けられています。

CVE-2024-37079の技術的詳細

この脆弱性はCVE-2024-37079（CVSSスコアは未公表）として追跡されており、仮想化環境を一元管理するVMware vCenter Serverに影響を及ぼします。VMwareは詳細な技術仕様をまだ公開していませんが、この脆弱性はRCEに分類され、認証されていない攻撃者が脆弱なシステム上で任意のコードを実行できる可能性があります。主な詳細事項は以下の通りです：

• 影響を受けるバージョン：VMware vCenter Server 7.0および8.0（具体的なパッチバージョンは未公表）。
• 攻撃ベクトル：vCenter Serverの管理インターフェースへのネットワークアクセスを通じた悪用が想定される。
• 緩和策：VMwareはパッチをリリース済み。即時のアップデートが強く推奨される。

影響と脅威の状況

vCenter Serverは、ESXiホスト、仮想マシン（VM）、ストレージ/ネットワークリソースの管理において重要な役割を果たすため、脅威アクターにとって高価値なターゲットとなっています。CVE-2024-37079の悪用に成功すると、以下のリスクが生じます：

• vCenter Serverインスタンスの完全なシステム侵害。
• 接続されたESXiホストやVMへのラテラルムーブメント（横展開）。
• エンタープライズ環境におけるデータ流出やランサムウェアの展開。

CISAがこの脆弱性をKEVカタログに追加したことは、既に高度持続的脅威（APT）グループやランサムウェアオペレーターなどの脅威アクターがこの脆弱性を悪用している可能性を示唆しており、緊急性が高いことを強調しています。

セキュリティチーム向けの推奨事項

1. 即時のパッチ適用：VMwareが提供するvCenter Serverのセキュリティアップデートを遅滞なく適用する。
2. ネットワークセグメンテーション：vCenter Serverインスタンスを信頼できないネットワークから分離し、露出を制限する。
3. 監視強化：**侵入検知/防止システム（IDS/IPS）**を導入し、悪用の試みを検出する。
4. アクセス制御：vCenter Serverへの管理アクセスを承認された担当者のみに制限する。
5. 重要システムのバックアップ：仮想化インフラストラクチャのオフラインバックアップを確保し、復旧に備える。

連邦機関はCISAの指令への準拠が義務付けられています。民間企業においても、野放し状態での悪用が確認されているため、パッチ適用を優先することが強く推奨されます。

原典：Sergiu GatlanによるBleepingComputerの報道。