Broadcomは、VMware Tools for Windowsにおいて深刻な認証バイパスの脆弱性(CVE-2025-22230)を修正するセキュリティアップデートを公開した。この脆弱性は不適切なアクセス制御に起因し、権限の低いローカルユーザーがユーザー操作なしに高権限を獲得できる可能性があるとされる。報告者はロシアのセキュリティ企業Positive Technologiesの研究者で、同社は過去に制裁対象にもなっている。

この発表は、Broadcomが今月初めに発表した3件のゼロデイ脆弱性の修正に続くもので、いずれも実際に悪用された形跡があるとされる。VMware製品は企業の基盤を支える重要な存在であり、機密性の高いデータが集中することから、ランサムウェアグループや国家支援型の攻撃者による標的になりやすい。

ローカル権限から管理者権限への昇格を許すCVE-2025-22230の実態

CVE-2025-22230は、VMware Tools for Windowsに内在するアクセス制御の不備により、認証バイパスが可能になる深刻な脆弱性である。Broadcomの説明によれば、WindowsゲストOS上で管理者権限を持たない攻撃者が、特定の高権限操作を実行できるようになるリスクが指摘されている。この脆弱性は、ユーザーの操作を必要とせずに、複雑性の低い攻撃手法で権限昇格が可能となる点が極めて危険であり、早急な対応が求められる内容といえる。

報告者は、ロシアのセキュリティ企業Positive Technologiesの研究者であるSergey Bliznyuk。同社は過去に制裁対象としても言及されており、その経緯も相まって、今回の報告は技術面だけでなく政治的な側面にも注目が集まっている。今回のアップデートによる修正は、VMware環境でWindowsゲストを使用している管理者にとって、見過ごせない重要な対応であり、仮想マシン内での操作権限に不安を抱えている利用者には、アップデートの即時適用が必須とされる。

ゼロデイ連続報告の背景に見る、VMware製品への執拗な標的化

Broadcomは今月、今回のCVE-2025-22230に加え、CVE-2025-22224/22225/22226という3件のゼロデイ脆弱性に対する修正パッチも公開している。これらの脆弱性はすでにMicrosoft Threat Intelligence Centerによって悪用の痕跡が確認されており、仮想マシン環境におけるセキュリティリスクが現実の脅威となっている状況が浮き彫りになった。加えて、Shadowserverがインターネット上に公開された37,000件超のVMware ESXiインスタンスに対し、特定の脆弱性が依然として放置されていることを指摘しており、企業レベルでの対応の遅れも問題視されている。

近年、国家支援型のハッカーやランサムウェア集団が、VMware製品を標的とする傾向が顕著であることも見逃せない。昨年11月には、CVE-2024-38812やCVE-2024-38813といったvCenter Serverの脆弱性が実際に悪用され、中国のハッキングコンテストで明らかになった脅威が現実に拡散した事例も報告された。さらに2024年1月には、バックドア「VirtualPita」や「VirtualPie」がESXiシステムに仕込まれていた事実が明かされており、VMware製品の攻撃対象としての魅力の高さがうかがえる。仮想化基盤が企業の中核に組み込まれている現状を考慮すれば、今後もこの種の脆弱性が見逃されるリスクは排除できず、予防的なパッチ適用が不可欠である。

Source:BleepingComputer