VMware Toolsの脆弱性に実攻撃の懸念、運用者は今すぐパッチ適用を
VMwareを提供するBroadcom社は10月30日にセキュリティアドバイザリを更新、VMware ToolsおよびVMware Aria Operationsに存在する3件の脆弱性(CVE-2025-41244, CVE-2025-41245, CVE-2025-41246)のうち、一件がすでに悪用されている可能性があると発表した。
特に「CVE-2025-41244」として追跡される脆弱性は、仮想マシン(VM)のroot権限を奪取される可能性があり、その深刻度は共通脆弱性評価システム(CVSS)v3.1のベーススコアで10段階中「7.8」と評価されている。
これは4段階の警戒レベル(重大、高、中、低)のうち、上から2番目にあたる「高(High)」に分類され、迅速な対応が求められる危険な脆弱性であることを意味する。Broadcomは利用者に対して、迅速なアップデートを強く推奨している。
さらに、この脆弱性は攻撃グループ「UNC5174」によって、2024年10月からゼロデイ攻撃として悪用されていた可能性が指摘されており、極めて緊急性の高い脅威となっている。
脆弱性の詳細と影響
CVE-2025-41244: ローカル権限昇格の脅威
この脆弱性は、VMware Toolsのサービス検出機能に存在し、VMware Aria Operationsで管理されている環境に影響する。原因は、サービス検出用のスクリプトが実行ファイルのパスを限定していなかったことにある。
これにより、攻撃者が/tmpのような誰でも書き込めるディレクトリに不正なプログラムを配置すると、VMware Toolsがそれを正規のサービスと誤認してroot権限で実行してしまい、結果としてシステムの制御を奪われる。
一度何らかの手段で仮想マシンに侵入された場合、攻撃者がシステムの完全な制御権を掌握する可能性があるということだ。多くの企業が基幹システムをVMware上で稼働させている現状を考えれば、この脆弱性がもたらす事業継続リスクは計り知れない。
CVE-2025-41245とCVE-2025-41246: 情報漏洩と不正アクセスのリスク
同時に公開された他の脆弱性も看過できない。
| 脆弱性ID | 概要 | CVSSスコア | 影響 |
|---|---|---|---|
| CVE-2025-41245 | VMware Aria Operationsにおける情報漏洩 | 4.9 (中) | 一般ユーザーが他のユーザーの認証情報を不正に取得できる可能性がある。 |
| CVE-2025-41246 | Windows版VMware Toolsの不適切な認可 | 7.6 (高) | 攻撃者が認証情報を把握している場合、他のゲストVMへアクセスできる可能性がある。 |
CVE-2025-41245は、監視システム内の認証情報が漏れることで、攻撃の足がかりを与えてしまう。
そしてCVE-2025-41246は、仮想環境内での水平展開(ラテラルムーブメント)に悪用され、被害が単一のVMに留まらなくなる危険性を示唆している。
現場の運用者は、今すぐパッチ適用を
Broadcomは、これらの脆弱性に対して根本的な対策としてパッチの適用を強く推奨している。 運用担当者は、自社環境への影響を迅速に評価し、計画的なアップデートを実施する必要がある。
影響を受ける製品と、適用すべき修正バージョンは以下の通りである。
| 製品 | 修正バージョン |
|---|---|
| VMware Tools | 13.0.5, 12.5.4 |
| VMware Aria Operations | 8.18.5 |
| VMware Cloud Foundation (VCF) | 5.x, 4.x, 9.x.x.x |
| VMware Telco Cloud Platform | 5.x, 4.x |
Linuxディストリビューションで提供されるopen-vm-toolsについては、各ベンダーからのアップデートを待つ必要がある。
パッチ適用できない場合の、一時的な緩和策(CVE-2025-41244のみ)
パッチの適用が即座に困難な場合、CVE-2025-41244については一時的な回避策が存在する。
この脆弱性はVMware Aria Operationsの仮想マシン(VM)の中身を自動で可視化するための、Aria Operations専用アドオン「Service Discovery Management Pack (SDMP)」が有効な場合にのみ影響するため、この機能を無効化することでリスクを緩和できる。
ただし、これはあくまで一時しのぎであり、他の脆弱性への対策にもならないため、最終的にはパッチ適用を目指すべきである。
まとめ
今回明らかになったVMwareの脆弱性、特にCVE-2025-41244は、すでにゼロデイ攻撃としての悪用が報告されており、極めて緊急性の高い問題である。
仮想化基盤の管理者権限が奪取されるリスクは、事業全体に深刻な影響を及しかねない。
システム運用者は、自社の環境が影響を受けるかどうかを直ちに確認し、Broadcomが提供するセキュリティパッチを可及的速やかに適用するべきだ。すぐに適用できない場合でも、SDMPを無効化する回避策を検討し、リスクの低減に努める必要がある。
このインシデントを機に、自社の資産管理体制と脆弱性情報に対する感度を再評価することが、将来の脅威からシステムを守るための鍵となるだろう。
この記事をシェア
