📌 漏洞编号

• CVE-2025-22224（CVSS 9.3，高危）

• CVE-2025-22225（CVSS 8.2，高危）

📅 披露时间

2025年3月4日

🚨 最新动态

• 漏洞已被用于勒索攻击（如LockBit 4.0变种）

• 暗网PoC交易活跃，建议48小时内修复！

🔍 漏洞详情

1. CVE-2025-22224（VMCI堆溢出漏洞）

• 漏洞类型：虚拟机逃逸（VM Escape）

• 触发条件：

• 攻击者需具备虚拟机本地管理员权限

• 通过TOCTOU（Time-of-Check Time-of-Use）问题触发堆溢出

• 风险：VMX进程执行宿主机任意代码，突破虚拟化隔离环境。

2. CVE-2025-22225（ESXi任意写入漏洞）

• 漏洞类型：权限提升

• 触发条件：

• 在CVE-2025-22224利用基础上触发

• 通过内核任意写入绕过沙盒限制

• 风险：完全控制宿主机操作系统。

🎯 影响范围

🛠️ 修复方案

1. 补丁升级（首选方案）

# 官方补丁下载- 补丁公告：VMSA-2025-0004  - 下载链接：[VMware Security Advisory](https://www.vmware.com/security/advisories/VMSA-2025-0004.html)# 升级版本对照表| 产品          | 修复版本             ||---------------|----------------------|| ESXi 8.0      | ESXi80U2sb-23305545  || Workstation   | 17.5.1               || Fusion        | 13.5.1               |

2.临时缓解措施

# 禁用VMCI接口1. 编辑虚拟机配置文件（.vmx）   vmci0.present = "FALSE"2. 重启虚拟机生效# 启用驱动黑名单- 使用微软工具拦截恶意驱动加载：  PowerShell命令：  Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled

⚠️ PoC状态与安全警告

公开PoC：未在GitHub等平台发布

暗网情报：漏洞利用代码（Exploit Kit）售价约$50,000 BTC包含完整逃逸链（VM Escape → RCE → Persistence）

严禁行为：❌ 未经授权测试❌ 传播PoC代码

🔎 检测与验证

# 检查ESXi版本是否受影响esxcli system version get | grep "VMware ESXi 7.0|8.0"# 验证补丁安装vmware -vl | grep "ESXi80U2sb-23305545"

📋 补充建议

日志监控：重点关注/var/log/vmware/hostd.log中的异常VMX进程活动

关键词：VMCI_QUEUE_PFN、memmove out-of-bounds

应急响应：对可疑虚拟机立即执行vMotion隔离

创建内存快照：vm-support --memory-dump

备份策略：启用VMware Site Recovery Manager进行跨集群备份每日增量备份虚拟机配置文件（.vmx/.nvram）

立即行动！ 该漏洞已被列为CRITICAL级别，修复优先级高于常规维护！

原文始发于微信公众号（海蜃）：VMware ESX系列虚拟机逃逸漏洞紧急通告（2025年3月）