VMware 漏洞被积极利用以绕过安全控制并部署勒索软件

利用关键 VMware 虚拟化漏洞的勒索软件攻击激增已触发全球警报。威胁行为者利用 ESXi、Workstation 和 Fusion 产品中的缺陷来瘫痪企业基础架构。

漏洞 CVE-2025-22224 （CVSS 9.3）、CVE-2025-22225 （CVSS 8.2） 和 CVE-2025-22226 （CVSS 7.1） 使攻击者能够逃避虚拟机 （VM） 遏制、劫持虚拟机管理程序并在整个集群中部署勒索软件。

Shadowserver 观察到，截至 2025 年 3 月 4 日，有 41,500+ 个暴露在互联网上的VMware ESXi管理程序容易受到 CVE-2025-22224 的攻击，CVE-2025-22224 是一个在攻击中被积极利用的关键零日漏洞。

漏洞三重奏：攻击者的完美风暴

CVE-2025-22224 是 VMware VMCI 驱动程序中的一个堆溢出缺陷，允许具有 VM 管理员权限的攻击者在主机的 VMX 进程上执行代码。这是 Hypervisor 入侵的入口点。

然后，攻击者利用 CVE-2025-22225（一种任意写入漏洞）来提升权限并获得对 ESXi 主机的内核级控制。

最后，CVE-2025-22226 通过虚拟机管理程序内存泄漏促进了凭据盗窃，从而能够横向移动到 vCenter 和其他关键系统。

攻击从破坏面向 Internet 的 VM 开始，通常是通过 Web Shell 或被盗的凭据。一旦进入，攻击者就会利用 CVE-2025-22224 逃离 VM 沙箱并在 ESXi 主机上执行代码。

通过 CVE-2025-22225 进行的权限提升会授予内核访问权限，而 CVE-2025-22226 会从内存中提取凭据，从而绕过基于网络的检测。

攻击者通过 SSH 从 Hypervisor 转向 vCenter，或利用未修补的漏洞，通常利用松散的子网间防火墙规则。Sygnia 报告称，最后阶段涉及加密 VM 磁盘文件 （VMDK） 和删除存储在 vSphere 数据存储中的备份，从而削弱业务运营。

安全团队面临重大的监控挑战：

1. 虚拟机管理程序盲点：只有 38% 的组织会监控 ESXi 主机日志，例如监控 VM 管理异常。/var/log/hostd.log

2. 噪音过载：大容量 VMware 日志缺乏安全优化，允许攻击者混入。

3. 分段失败：72% 的受影响组织在管理界面和生产网络之间缺乏微分段。

医疗保健和金融行业的攻击率最高，攻击者在初始访问后的 47 分钟内加密了整个患者记录系统和交易数据库。赎金要求平均为 2-500 万美元，双重勒索策略威胁到暗网论坛上的数据泄露。

Broadcom 已经修补了 VMware 产品中的漏洞。2025 年 3 月 4 日，Broadcom 发布了紧急更新，以解决影响多个 VMware 产品（包括 ESXi、Workstation 和 Fusion）的三个关键漏洞（CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226）。

Broadcom 已针对受影响的 VMware 产品发布了以下修复版本：

• VMware ESXi 8.0：ESXi80U3d-24585383、ESXi80U2d-24585300

• VMware ESXi 7.0：ESXi70U3s-24585291

• VMware ESXi 6.7：ESXi670-202503001

• VMware 工作站 17.x：17.6.3

• VMware Fusion 13.x：13.6.3

此外，异步补丁可用于 VMware Cloud Foundation，而 Telco Cloud Platform 客户应更新到固定的 ESXi 版本。

修补的紧迫性

Broadcom 强烈敦促所有 VMware 客户立即应用这些补丁。这些漏洞尤其令人担忧，因为：

1. 它们在野外被积极开发。

2. 它们允许具有管理访问权限的攻击者逃离虚拟机沙箱，并可能危及在同一服务器上运行的所有 VM。

3. 美国网络安全和基础设施安全局 （CISA） 已将所有三个 CVE 添加到已知利用漏洞 （KEV） 列表中。

鉴于这些漏洞的关键性质和积极利用，组织必须识别受影响的系统，尽快应用补丁，监控系统是否存在异常活动，并审查其安全实践。

原文来自: cybersecuritynews.com