新型VMware虚拟机劫持漏洞带来的威胁不容小觑

如果您运行的是 VMSA 中列出的“已修复”版本之前的 VMware ESX、VMware vSphere、VMware Cloud Foundation 或 VMware Telco Cloud Platform 的任何版本，则您会受到影响。

周二，VMware公司联合外部研究人员发布警告称，其多款虚拟机产品存在三个关键漏洞，可能使黑客获得异常广泛的访问权限，侵入客户网络中最敏感的环境。

虚拟机逃逸攻击威胁升级

此类攻击被冠以多个名称：hyperjacking（虚拟机劫持）、hypervisor攻击（虚拟机监控程序攻击）或虚拟机逃逸（virtual machine escape）。在托管环境中运行的虚拟机通常用于隔离不同客户资源，防止互相访问或控制。通过突破某个客户的隔离虚拟机环境，攻击者将能够控制分配虚拟机的hypervisor（虚拟机监控程序），进而访问多个客户的虚拟机。这些受控环境常被用于托管企业内部网络，具有极高敏感性。

安全边界全面沦陷

"一旦突破至hypervisor层面，就能访问所有系统。"安全研究员Kevin Beaumont在Mastodon平台上警告称，"当虚拟机逃逸发生时，所有安全边界都将失效。"他补充道："利用该漏洞，攻击者可在VMware托管的服务提供商、企业自建的私有云等场景中横向移动。"

漏洞已遭野外利用

VMware在公告中透露，有证据表明这些漏洞已被积极利用，但未透露具体细节。Beaumont指出，漏洞影响范围覆盖VMware ESXi、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform产品线的所有支持及已停服版本。

三大高危漏洞详情

• CVE-2025-22224虚拟机通信接口堆溢出漏洞 | CVSS 9.3分
• CVE-2025-22225任意写入漏洞 | CVSS 8.2分
• CVE-2025-22226主机-客户机文件系统信息泄露漏洞 | CVSS 7.1分

远程攻击可能性存疑

虽然VMware官方未将漏洞归类为"可远程利用"，但安全专家警告该定义可能具有误导性。Mastodon用户指出："攻击无需物理接触目标VM，只要通过网络访问任一虚拟机即可实施。"这意味着，只要托管环境中存在任意客户虚拟机被攻陷，攻击者就可能通过该漏洞控制宿主机hypervisor。

"考虑到hypervisor通常托管多个客户/项目/安全区域，此类漏洞将引发灾难性后果。"有评论强调，"单个客户虚拟机防护不力，就可能危及同一hypervisor上的所有其他虚拟机。"

响应与影响

• 漏洞由微软威胁情报中心向Broadcom报告
• 美国网络安全和基础设施安全局（CISA）已将三漏洞列入已知被利用漏洞目录
• 历史数据显示，虚拟机软件漏洞已成为国家级黑客组织和犯罪集团渗透高敏感网络的主要入口

安全建议：使用受影响产品的组织应立即进行全面排查，确保网络环境免受此威胁。建议关注VMware官方补丁更新，优先修补关键系统。

官方公告：https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/security-advisories/vmsa-2025-0004