利用 VMware 虚拟化关键漏洞发动的勒索软件攻击激增,已引发全球警报。威胁行为者利用 ESXi、Workstation 和 Fusion 产品中的漏洞,使企业基础设施陷入瘫痪。
CVE-2025-22224(通用漏洞评分系统评分 9.3)、CVE-2025-22225(评分 8.2)和 CVE-2025-22226(评分 7.1)这些漏洞,使攻击者能够突破虚拟机(VM)的隔离限制,劫持管理程序,并在整个集群中部署勒索软件。
Shadowserver 观察到,截至 2025 年 3 月 4 日,有超过 41,500 台暴露在互联网上的 VMware ESXi 管理程序易受 CVE-2025-22224 攻击,这是一个严重的零日漏洞,已在实际攻击中被积极利用。
三重漏洞:攻击者的完美风暴
CVE-2025-22224 是 VMware 的 VMCI 驱动中的堆溢出漏洞,拥有虚拟机管理员权限的攻击者可借此在主机的 VMX 进程上执行代码。这成为入侵管理程序的切入点。
攻击者随后利用 CVE-2025-22225(一个任意写入漏洞)提升权限,从而获得对 ESXi 主机的内核级控制权。
最后,CVE-2025-22226 通过管理程序内存泄漏助力窃取凭证,使攻击者能够横向移动至 vCenter 和其他关键系统。
攻击始于入侵面向互联网的虚拟机,通常是通过网页外壳或窃取的凭证实现。一旦进入,攻击者利用 CVE-2025-22224 突破虚拟机沙盒,在 ESXi 主机上执行代码。
借助 CVE-2025-22225 进行权限提升可获得内核访问权限,而 CVE-2025-22226 从内存中提取凭证,从而绕过基于网络的检测。
攻击者从管理程序通过 SSH 转向攻击 vCenter,或利用未打补丁的漏洞,常常利用子网间宽松的防火墙规则。Sygnia 报告显示,最后阶段包括加密虚拟机磁盘文件(VMDK)并删除存储在 vSphere 数据存储中的备份,从而严重破坏业务运营。
安全团队面临严峻的监控挑战
1.管理程序盲点:只有 38% 的组织监控 ESXi 主机日志(如 /var/log/hostd.log )以查找虚拟机管理异常情况。
2.噪音过载:大量的 VMware 日志缺乏安全优化,使攻击者能够隐匿其中。
3.分段失败:72% 受影响的组织在管理接口和生产网络之间缺乏微分段。
医疗保健和金融行业报告的攻击率最高,攻击者在初次访问后的 47 分钟内就能加密整个患者记录系统和交易数据库。赎金要求平均为 200 万至 500 万美元,采用双重勒索策略,威胁要在暗网论坛上泄露数据。
Broadcom已对 VMware 产品中的漏洞进行了修复。2025 年 3 月 4 日,Broadcom发布了紧急更新,以解决影响包括 ESXi、Workstation 和 Fusion 在内的多款 VMware 产品的三个严重漏洞 ——CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226。
Broadcom为受影响的 VMware 产品发布了以下修复版本:
1.VMware ESXi 8.0:ESXi80U3d-24585383、ESXi80U2d-24585300
2.VMware ESXi 7.0:ESXi70U3s-24585291
3.VMware ESXi 6.7:ESXi670-202503001
4.VMware Workstation 17.x:17.6.3
5.VMware Fusion 13.x:13.6.3
此外,VMware Cloud Foundation 有异步补丁可用,而电信云平台客户应更新到修复后的 ESXi 版本。
紧急打补丁
Broadcom强烈敦促所有 VMware 客户立即应用这些补丁。这些漏洞尤其令人担忧,原因如下:
1.它们已在现实中被积极利用。
2.它们使拥有管理员权限的攻击者能够突破虚拟机沙盒,并有可能危及同一服务器上运行的所有虚拟机。
3.美国网络安全与基础设施安全局(CISA)已将这三个 CVE 全部列入已知被利用漏洞(KEV)列表。
鉴于这些漏洞的严重性和正在被利用的现状,各组织必须识别受影响的系统,尽快应用补丁,监控系统是否有异常活动,并审查其安全措施。
发表评论
您还未登录,请先登录。
登录