CVE-2025-41244 脆弱性：VMware Tools と Aria のゼロデイ、権限昇格に悪用中

CVE-2025-20352、野生環境で積極的に悪用されているCisco IOSおよびIOS XEの重大な脆弱性に続き、サイバー脅威の状況は再び別のゼロデイに揺さぶられています。CVE-2025-41244として追跡されるこの新たに武器化された脆弱性は、VMware ToolsおよびVMware Aria Operationsに影響を与え、ローカルの権限昇格を可能にし、特権のないユーザーが影響を受けたシステム上でroot権限でコードを実行できるようにします。

2025年、脆弱性管理は世界的に重要な優先事項として浮上しています。組織は増大するサイバーセキュリティリスクに対応する必要があります。全世界で35,000件以上の脆弱性が公開され、前年同期比で21％増加しており、セキュリティチームには対応のプレッシャーが増しています。攻撃ベクトルとしての悪用が主要であり、脅威アクターがますます高度な手法を採用しているため、攻撃面を減らすためには積極的な検知が不可欠です。

新たに特定されたVMware ToolsおよびAriaのゼロデイ（CVE-2025-41244）の悪用の容易さは、迅速なパッチ適用、厳密なプロセス監視、ゲストVM環境の強化の重要性を強調しており、同様のゼロデイ脅威への防御に欠かせません。

SOC Primeプラットフォームに登録して、企業向けサイバー防御のためのトップレベルのサイバーセキュリティ専門知識とAIを活用してください。SOC Primeプラットフォームは、広く使用されているソフトウェアに影響するゼロデイ脆弱性を含む、あらゆる高度な脅威に対抗するための、コンテキストで強化された検知を提供します。下の検知を探すボタンをクリックすると、「CVE」タグでフィルタリングされた関連Sigmaルールの包括的コレクションに即座にアクセスし、既知および新たな脆弱性を悪用する攻撃を未然に防ぐことができます。

検知を探す

前述の脆弱性悪用検知アルゴリズムはMITRE ATT&CK®にマッピングされ、AIネイティブの脅威インテリジェンスで強化されており、詳細なサイバー脅威のコンテキストを提供し、脅威リサーチを加速します。Sigmaルールは複数のSIEM、EDR、Data Lakeフォーマットに自動変換可能で、検知エンジニアリングプロセスを簡素化し、チームの生産性を向上させます。

Uncoder AIでは、AIコパイロットおよび検知エンジニアリング用IDEとして、セキュリティチームはレポートからの生脅威インテリジェンスをカスタムIOCクエリに変換したり、攻撃フローを可視化したり、簡潔な要約や意思決定ツリーを作成したり、ATT&CK® MLベースのコードタグ付けや無制限の自動補完で検知戦略を強化したり、ネイティブ言語クエリをAIで最適化したりできます。最新のUncoder AIバージョンでは、AIチャットボットモードおよびMCPツールが提供され、検知エンジニアリングタスクをエンドツーエンドで管理するサポートをします。

CVE-2025-41244 分析

防御側は、VMware ToolsおよびVMware Aria Operationsで新しいゼロデイのローカル権限昇格脆弱性が観測されており、野生環境での攻撃で積極的に悪用されています。この重大な欠陥はCVE-2025-41244（CVSSスコア7.8）として追跡され、VMware ToolsおよびVMware Aria OperationsのService Discovery Management Pack（SDMP）に影響を与え、特権のないユーザーがroot権限で任意のコードを実行できるようにします。

NVISOの研究者は、この問題をget-versions.shスクリプトのUntrusted Search Pathの弱点（CWE-426）に特定しました。このスクリプトはサービスバイナリを特定するために広範すぎる正規表現パターンを使用しています。攻撃者は書き込み可能なディレクトリ（例：/tmp/httpd）に悪意のあるバイナリを配置でき、VMwareのサービスディスカバリプロセスは特権昇格してこれを実行し、完全なrootアクセスを取得します。

この脆弱性は、認証なしの発見（ゲストVM上のVMware Tools経由）およびレガシー認証ベースの発見（VMware Aria Operations経由）の両方に影響します。研究者は、ほとんどのLinuxディストリビューションに搭載されているopen-vm-toolsでも同じ欠陥を確認しました。

悪用は、vmtoolsdやget-versions.shからの異常な子プロセスを監視するか、/tmp/VMware-SDMP-Scripts-{UUID}/内の残存スクリプトファイルを確認することで検出できます。

2024年第1四半期、中国、北朝鮮、イラン、ロシアに関連するAPTグループは、VMwareなど広く使用される技術の脆弱性を悪用したサイバースパイ活動において、ますます高度で革新的な戦術を示しました。例として、中国系UNC3886グループは、2024年を通じてVMwareおよびFortinetのゼロデイを含む広範な悪意のある技術ツールキットを積極的に展開しています。

CVE-2025-41244の野生環境での継続的な悪用は、初期アクセス操作で公開されているエクスプロイトを活用することで知られる、中国が関与していると推測されるUNC5174に帰属されています。

CVE-2025-41244の潜在的な緩和策として、Broadcomはパッチを公開しており、脆弱性悪用のリスクを最小化するために即時更新を推奨しています。追加の推奨事項には、vmtoolsdやAria SDMPの異常な子プロセス監視、リスクのあるディレクトリへの書き込みアクセス制限、ゲストVMの内部ネットワーク接続制限などがあります。

組織が新たな脅威を迅速に特定し、高度な攻撃を事前に防ぐために、セキュリティチームはAI、オートメーション、リアルタイム脅威インテリジェンスを融合した先端技術と専門知識で支援するSOC Primeの企業向け製品群に頼ることができます。