VMware ESXi 是一款虚拟化平台,广泛应用于企业数据中心及云环境,旨在提供高效、灵活的虚拟化解决方案。
近期互联网披露,ESXi 中存在三个严重漏洞(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226),涉及越界读和越界写等缺陷,攻击者可将这些漏洞链式利用,实现从虚拟机逃逸至宿主机。建议受影响的用户尽快应用官方补丁,并加强网络及访问控制策略,以降低安全风险。
漏洞成因
ESXi 中这三项漏洞均源自虚拟化组件在内存操作和权限校验上的缺陷。
CVE-2025-22224:由于 VMware ESXi 中 VMCI(虚拟机通信接口)处理过程中存在 TOCTOU 条件竞争,导致堆内存溢出,攻击者可借此实现任意内存读写。
CVE-2025-22225:在 ESXi 中,某些模块未能对内存写入进行严格校验,造成越界写入漏洞,攻击者可修改宿主机关键数据。
CVE-2025-22226:虚拟化组件对主机-访客文件系统(HGFS)的边界检查不足,导致越界读取漏洞,使攻击者能够获取敏感内存信息。
单独利用这些漏洞虽然风险有限,但通过链式利用,攻击者能够突破虚拟化隔离,实现虚拟机逃逸。
漏洞影响
虚拟机逃逸:利用漏洞链,攻击者可从虚拟机直接突破隔离层,控制 ESXi 宿主机,进而威胁整个虚拟化环境。
数据泄露及服务中断:通过任意读写漏洞,攻击者能窃取内存中敏感信息或破坏关键系统数据,严重影响业务连续性。
处置优先级:高
漏洞类型:越界访问
漏洞危害等级:严重
触发方式:网络远程
权限认证要求:无需权限(Pre-Auth)
系统配置要求:默认配置下即存在风险
用户交互要求:无需用户交互
利用成熟度:暂无公开POC,但已出现在野利用
修复复杂度:中,需要更新补丁并重启宿主机
所有未安装补丁的 VMware ESXi 版本均可能受此漏洞影响,尤其是 ESXi 7.x 和 8.x 用户。
对于仍在使用已过支持周期的旧版本(如 ESXi 6.5/6.7)的用户,需特别注意这些版本同样存在漏洞且更易成为攻击薄弱环节。
此外,相关虚拟化产品(如 vSphere、VMware Workstation、Fusion、Cloud Foundation 等)也应关注此漏洞风险。
临时缓解方案
由于这些漏洞属于底层虚拟化安全缺陷,目前没有可行的临时缓解方案可在不打补丁的情况下完全缓解风险,VMware 官方明确表示无法通过临时配置来缓解该漏洞,只能通过更新并重启主机来彻底修复。
1. 限制网络访问:在补丁未能及时应用前,建议通过防火墙、VPN 或云安全组等措施限制 ESXi 管理接口的公网暴露,降低攻击面。
2. 加强虚拟机安全:确保虚拟机内操作系统和应用程序均及时更新补丁,杜绝因虚拟机被攻陷而利用漏洞链进一步入侵宿主机。
3. 安全监控与审计:部署针对 ESXi 平台的安全监控系统,及时检测并响应异常行为,确保发现漏洞利用行为后能够迅速处置。
升级修复方案
ESXi 8.0 请更新至 8.0 Update 3d(build 24585383)或 8.0 Update 2d(build 24585300);
ESXi 7.0 请更新至 7.0 Update 3s(build 24585291)
同时,VMware 已为 ESXi 6.7 提供了相应补丁(通过支持门户获取),6.5 则需通过延长支持渠道获取修复,官方强烈建议尽快升级至受支持的最新版 vSphere 并打上补丁。
VMware Cloud Foundation 和 Telco Cloud 平台用户需应用相应的异步补丁(该平台集成的 ESXi 需升级到上述修复版本)
针对桌面虚拟化产品,请将 VMware Workstation Pro 更新至 17.6.3,Fusion 更新至 13.6.3,以修补相关漏洞。
3月4日 互联网公开披露漏洞
3月5日 长亭安全应急响应中心发布通告
参考资料:
[1].https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
[2].https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/security-advisories/vmsa-2025-0004
原文始发于微信公众号(渗透Xiao白帽):【漏洞速递】VMware ESXi新型漏洞CVE-2025-22224-22226利用链已出现在野利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论