知って得するセキュリティのはなし その197
VMware ESXi等の脆弱性を突いてランサムウェアに感染させる攻撃活動に注意喚起
1.このニュースをザックリ言うと
- 2月3日(現地時間)、フランスのCERT-FRより、VMWare社の仮想マシンソフトウェアの古いバージョンに存在する脆弱性を突き、ランサムウェア感染を仕掛ける攻撃活動「ESXiArgs」が確認されたとして注意喚起が出されています。
- 脆弱性(CVE-2021-21974)は2021年2月に「VMware ESXi」「VMware Cloud Foundation」等において報告され、VMWare社からセキュリティアップデートが提供されていたものです。
- ESXiに対するセキュリティアップデートはサポート対象のバージョン6.5系・6.7系・7.0系に対しリリースされていますが、それよりも前のバージョンにおいても攻撃対象となっているとの報告があるとのことです。
- 2月6日(日本時間)にはVMWare社やJPCERT/CCからも同様の注意喚起が出され、日本国内でもVMware ESXi等が稼働するサーバーが攻撃を受ける恐れがあるとして対策ないし回避策の適用を呼び掛けています。
2.執筆者からの所感等
- 仮想マシンソフトウェアは、一台のホストOS上で通常複数のゲストOSを稼働させる目的で導入されるもので、特にVMware ESXiは、WindowsやLinuxといったOS上ではなく、ホストサーバー上で直接稼働するものとなります。
- 脆弱性はESXiに含まれる一部のサービスに存在し、またホストマシンと同一のLAN上から攻撃を受ける恐れがあるとされ、別途社内ネットワークに侵入した攻撃者から悪用されるケースも考えられます。
- 多数のIoT機器がマルウェアMiraiに感染したのと同様、更新がされているかの確認が行き届いていない機器が相次いでターゲットにされる恐れがありますので、組織内でネットワークに繋がっている機器全てを洗い出し、特にサポート対象外の古いバージョンのESXi等は確実にバージョンアップを実施し、今後もセキュリティアップデートを確実に適用できる体制を整えるとともに、不要なサービスについてもできる限り無効化ないしアクセスの遮断を行うようUTM等も組み合わせた安全なネットワーク構成とすることを強く推奨致します。