VMSA-2025 を数える

昨年数えてみて、割とお客様向けのネタの1つとして重宝したので今年も。

vhoge.hateblo.jp

1月には数えていたんですが、今年はお客様向けには話した後での逆輸入。

VMSA 一覧

VMSA ベースで16件、CVE ベースだと36件。
そこそこ減ったな。

ちなみに大抵は ESXi なので VCF / Telco Cloud Platform は記載を省いています。
(VMSA-2025-0009 は除く)

VMSA	Product	Severity	CVE count
VMSA-2025-0001	Aria Automation	Moderate	1
VMSA-2025-0002	Avi Load Balancer	Important	1
VMSA-2025-0003	Aria Operations for Logs / Aria Operations	Important	5
VMSA-2025-0004	ESXi / Workstation / Fusion	Critical / Critical / Important	3
VMSA-2025-0005	VMware Tools for Windows	Important	1
VMSA-2025-0006	Aria Operations	Important	1
VMSA-2025-0007	VMware Tools	Moderate	1
VMSA-2025-0008	Aria Automation	Important	1
VMSA-2025-0009	VMware Cloud Foundation	Important	3
VMSA-2025-0010	ESXi / vCenter / Workstation / Fusion	Important / Moderate / Moderate / Moderate	4
VMSA-2025-0011	Avi Load Balancer	Moderate	1
VMSA-2025-0012	NSX	Important	3
VMSA-2025-0013	ESXi / Workstation / Fusion / VMware Tools	Critical / Critical / Critical / Moderate	4
VMSA-2025-0014	vCenter	Moderate	1
VMSA-2025-0015	Aria Operations / VMware Tools	Important	3
VMSA-2025-0016	vCenter / NSX	Important	3

製品別件数

製品/深刻度別での集計。
1件の VMSA で複数製品を含んでいるものがあるので VMSA 件数とは合わないです。

Product	Critical	Important	Moderate	Low
ESXi	2	1
vCenter		2	1
NSX		2
Aria Operations		3
Aria Operations for Logs		1
Aria Auatomation		1	1
VMware Cloud Foundation		1
VMware Tools		2	2
Avi Load Balancer		1	1
Workstation	2		1
Fusion	1	1	1
計	5	15	7	0

トピックス

www.huntress.com VMSA-2025-0004 がゼロデイ攻撃に利用されていたかもという話。

どこかの VMware ベースのクラウドサービスがやられたというワケでは無く、VPN 機器を突破された上で全体の展開に悪用された感じ。
元投稿中にもありますが、仮想マシンによる分離もハイパーバイザをやられてしまうとどうしようもないですからね…

blog.nviso.eu こちらは VMSA-2025-0015 でゼロデイの可能性。
VMware Tools + SDMP での脆弱性を利用して仮想マシンでの root 奪取。

www.cisa.gov こちらは 2024年公表の脆弱性ですが、VMSA-2024-0012 の悪用事例が確認され、CISA の悪用された脆弱性カタログに登録されたよという話。
手口や詳細情報などはなし。これを受けてか、VMSA-2024-0012 の情報も更新された。