VMware Hypervisorのセキュリティ – USBコントローラに関する重大な脆弱性

ESXiホストの保護は、仮想化環境の機密性、完全性、可用性を確保し、データ漏洩、ダウンタイム、法規制の不遵守を防ぐために極めて重要です。管理者が仮想化環境内の設定を頻繁に変更する中、セキュリティ体制をどのように維持・強化すればよいでしょうか。このような疑問は、VMware製品を管理するすべてのITセキュリティ担当者にとって、ますます重要になってきています。脅威が絶えず進化し、新たな課題が出現している中、セキュリティ対策には常に警戒を怠らず、積極的に取り組むことが不可欠です。

最近、Broadcom(VMware）はセキュリティアドバイザリで、サポートが終了したものも含め、VMware ESXi 製品のすべてのバージョンにおいて、攻撃者がサンドボックスとハイパーバイザーの保護をバイパスできる 4 つの重大な脆弱性を公表しました。仮想マシン（VM）内のゲストオペレーティングシステムへの特権アクセス（ルートまたは管理者）を持つ攻撃者は、これらの脆弱性を悪用してハイパーバイザーにアクセスすることができます。ハイパーバイザーが企業環境で果たす重要な役割を考えると、これらの脆弱性は深刻なリスクとなります。

1 環境の理解
2 脆弱性の範囲
3 Entrust CloudControlによる事前対策

環境の理解

物理的なホスト・コンピュータは、複数の独立したゲスト仮想マシンを動作させることができます。VMware ESXiのようなハイパーバイザーによって管理されるこれらの仮想マシンは、ホストの物理リソースを利用します。

サンドボックスは、VMが動作する制御され隔離された環境であり、特定の意図された相互作用を超えて、マシンがホスト・システムや他のVMと相互作用する能力を制限するように設計されています。

Virtual Infrastructure

脆弱性の範囲

Broadcom が公表した脆弱性は、USB コントローラーの欠陥に関連しており、攻撃者は、VMware ESXi および Cloud Foundation 製品のすべてのバージョンにおいて、サンドボックスおよびハイパーバイザーの保護を侵害する可能性があります。これらの脆弱性は、VMware製品の中核機能の1つである、ホストマシンからVM内の機密操作を安全に分離するという機能を侵害するため、特に憂慮すべきものです。

Entrust CloudControlによる事前対策

仮想化とクラウド技術は、自動化、市場投入までの時間、IT の柔軟性に新たな機能をもたらしましたが、ハイパーバイザセキュリティの必要性も高めています。CloudControl は、コンプライアンス、フォレンジック、およびトラブルシューティングのために重要なデータを取得し、継続的なコンプライアンスのために VMware vSphere のハイパーバイザ構成エラーを特定する上で重要な役割を果たします。

CloudControlは、すべてのESXiホストで仮想マシンのUSBコントローラを自動的に無効にする機能など、包括的な機能を提供します。この機能を使用すると、Broadcom KB96682に記載されているように、すべての仮想マシンからUSBコントローラを迅速に削除し、すべてのESXiマシンにパッチが適用されるまでの間、セキュリティ勧告VMSA-2024-0006に記載されているすべての脆弱性を緩和することができます。

第二の防御策は、脆弱性に対応するパッチがすべての ESXi ホストに適切に適用されていることを確認することです。この時間のかかる作業もCloudControlで管理することができ、仮想インフラ全体にわたってこれらの脆弱性が排除されていることを確認します。

CloudControlによってこの検証が実行されると、すべての仮想マシンでUSBコントローラを再アクティブ化することが可能になります。

刻々と変化するセキュリティ環境において、ITインフラストラクチャのあらゆるコンポーネントは潜在的な脅威の影響を受けやすくなっています。最新のセキュリティ上の課題について常に情報を得ることは非常に重要です。プロアクティブなセキュリティ対策を実施し、脆弱性を継続的に監視することは、VMware環境の安全性、回復力、信頼性を維持するための鍵となります。Entrust CloudControl のような自動監視および修復ツールは、全体的なセキュリティ体制を大幅に改善することができます。