Shadowserver グループは、CVE-2025-22224という重大なTOCTOU攻撃に脆弱な41,500台以上のVMware ESXiハイパーバイザーを特定しました。
攻撃者はVMXプロセスの競合状態を悪用し、全てのVMとネットワーク資産を制御可能です。
Broadcomは緊急パッチを提供しましたが、Falcoのようなランタイム検出ツールが必要です。
FalcoはeBPFを活用してシステムコールを監視し、悪意あるエスケープ試行を検知しますが、ブロックはできません。
さらに、SELinuxやKubeArmorと組み合わせることで、特権プロセスの監視や不正アクセスの防止が強化されます。
脆弱性を修正することと、リアルタイムでの検知・対応を組み合わせることが重要です。