VMwareは、ESXi、Workstation、Fusionに影響を与える4つのセキュリティ欠陥に対処するパッチをリリースした。この中には、コード実行につながる可能性のある2つの重大な欠陥が含まれている。これらの脆弱性は、XHCI USBコントローラーにおける使用後解放(use-after-free)のバグとして記述され、CVE-2024-22252とCVE-2024-22253として追跡されている。WorkstationとFusionに対するCVSSスコアは9.3、ESXiシステムに対するスコアは8.4である。
仮想マシン上のローカル管理権限を持つ悪意のあるアクターが、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行するためにこの問題を悪用する可能性がある。ESXiでは、悪用はVMXサンドボックス内に限定されるが、WorkstationとFusionでは、WorkstationまたはFusionがインストールされているマシン上でコード実行につながる可能性がある。
また、Broadcomが所有する仮想化サービスプロバイダーによって修正された他の2つの問題には、CVE-2024-22254(CVSSスコア:7.9)- VMXプロセス内の権限を持つ悪意のあるアクターがサンドボックス脱出を引き起こすために悪用可能なESXiの範囲外書き込みの脆弱性、およびCVE-2024-22255(CVSSスコア:7.9)- 仮想マシンへの管理アクセス権を持つ攻撃者がvmxプロセスからメモリを漏洩させるために悪用可能なUHCI USBコントローラーの情報開示の脆弱性が含まれる。
これらの問題は、ESXi 6.5 – 6.5U3v、ESXi 6.7 – 6.7U3u、ESXi 7.0 – ESXi70U3p-23307199、ESXi 8.0 – ESXi80U2sb-23305545およびESXi80U1d-23299997、VMware Cloud Foundation (VCF) 3.x、Workstation 17.x – 17.5.1、Fusion 13.x (macOS) – 13.5.1のバージョンで対処された。パッチがデプロイされるまでの一時的な回避策として、顧客は仮想マシンからすべてのUSBコントローラーを削除するよう求められている。
【ニュース解説】
VMwareが、同社の製品であるESXi、Workstation、Fusionに影響を与える4つのセキュリティ脆弱性に対してパッチをリリースしました。この中には、特に重大な2つの脆弱性が含まれており、これらはXHCI USBコントローラーにおける使用後解放(use-after-free)のバグとして特定されています。これらの脆弱性は、仮想マシン上で管理権限を持つ攻撃者がホストシステム上でコードを実行する可能性があるというものです。
この問題の深刻さは、攻撃者が仮想マシンのプロセスを乗っ取り、ホストシステムに影響を与える可能性がある点にあります。特に、WorkstationとFusionにおいては、攻撃者がホストマシン上で任意のコードを実行することが可能になるという、より高いリスクが指摘されています。これに対して、ESXiでは影響がVMXサンドボックス内に限定されるため、リスクは若干低くなりますが、それでも依然として深刻なセキュリティ上の懸念が存在します。
このような脆弱性が存在することで、企業や組織のITインフラが危険にさらされる可能性があります。仮想化技術は、物理的なハードウェアリソースを効率的に利用し、システムの柔軟性と拡張性を高めるために広く採用されています。そのため、このような脆弱性が悪用されることは、ビジネス運営における重大なリスクとなり得ます。
VMwareは、これらの脆弱性を修正するためのパッチをリリースし、影響を受けるバージョンの製品をアップデートすることを推奨しています。また、パッチが適用されるまでの間、仮想マシンからUSBコントローラーを削除することでリスクを軽減する一時的な対策も提案されています。
この事例は、ソフトウェアのセキュリティが常に進化する脅威に対してどのように対応すべきか、そして企業が自身のITインフラを保護するためにどのような措置を講じるべきかを示しています。セキュリティは一度の対策で完結するものではなく、継続的な監視、評価、そして対応が必要です。このようなセキュリティパッチのリリースは、その一環として非常に重要な役割を果たします。
from VMware Issues Security Patches for ESXi, Workstation, and Fusion Flaws.
