ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった：犯罪者が狙う「ESXi」【中編】

VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。

[Alexander Culafi，TechTarget]

　VMware製品に見つかった脆弱（ぜいじゃく）性「CVE-2023-20867」は、同社のハイパーバイザー「ESXi」のセキュリティを脅かす。セキュリティベンダーMandiantによると、中国政府が支援しているとみられるサイバー犯罪グループUNC3886は、CVE-2023-20867を積極的に悪用している。一方でVMwareは、CVE-2023-20867の深刻度を“ある理由”から「Low」（低い）と判断した。

「客観的」なVMwareの判断根拠とは？

併せて読みたいお薦め記事

連載：犯罪者が狙う「ESXi」

• 前編：ESXiを攻撃する犯罪者集団が悪用した脆弱性「CVE-2023-20867」とは？

VMware「ESXi」は今日も狙われている

• 犯罪者の「ESXi離れ」どころか“ESXi依存”が止まらないのはなぜ？
• “危ないESXi”を世界中で生んだランサム攻撃「ESXiArgs」　推奨の対策はこれだ

　VMwareは、同社の仮想マシン（VM）管理ツール群「VMware Tools」の脆弱性であるCVE-2023-20867に関して、セキュリティ情報「VMware Security Advisory」（VMwareセキュリティアドバイザリ）を公開した。その中で同社は、米国の共通脆弱性評価システム「Common Vulnerability Scoring System Version 3.1」（CVSS v3.1）によるCVE-2023-20867のスコアが「3.9」であることを指摘。その上で、VMwareは自社によるCVE-2023-20867の深刻度をLowだと評価した。CVSS v3.1において、スコア3.9は深刻度「Low」（注意）を意味する。

　CVE-2023-20867の深刻度評価に関する米TechTargetからの質問に対し、VMwareの広報担当者は以下のように述べた（丸かっこ内は編注）。

　当社にとって、お客さまのセキュリティは最優先事項です。当社は本日（米国時間2023年6月13日）、お客さまがCVE-2023-20867に対処するためのソフトウェアアップデートをリリースしました。この脆弱性は、攻撃者がroot権限（ほぼ全ての操作ができる管理者権限）を入手していない限り悪用することはできません。お客さまにおいては、ソフトウェアアップデートの実行とともに、当社セキュリティブログに記載されているセキュリティ対策を講じることを推奨します。

　Mandiantは、UNC3886による攻撃活動の手口を「非常に巧妙だ」と指摘する。UNC3886は米国やアジア太平洋地域を中心に、防衛やIT、通信といった分野の企業を主な標的にしているという。MandiantによるとUNC3886は以前から、さまざまなIT製品の脆弱性を悪用してきた。PCやサーバなどのエンドポイントの脅威を検知して対処する「EDR」（Endpoint Detection and Response）といったセキュリティ対策を迂回（うかい）することが目的だという。

---

　後編は、ランサムウェア（身代金要求型マルウェア）「ESXiArgs」を含めた、ESXiを標的にした攻撃の動向を整理する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。