HackerNews 编译,转载请注明出处:
勒索软件团伙目前正利用 VMware ESXi 漏洞 CVE-2025-22225,该漏洞已于 2025 年 3 月由Broadcom公司修复。美国网络安全与基础设施安全局(CISA)证实,勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。
该漏洞是 VMware ESXi 中存在的任意写入问题,拥有 VMX 进程权限的攻击者可触发内核任意写入操作,进而实现沙箱逃逸。彼时,这家虚拟化巨头证实,已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中指出:“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作,进而实现沙箱逃逸。”
VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中,修复了三个已遭在野积极利用的零日漏洞,这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行,具体包括:
· CVE-2025-22226(CVSS 7.1):HGFS 文件系统存在越界读取漏洞,可导致 VMX 进程内存泄露。
· CVE-2025-22224(CVSS 9.3):VMCI 接口存在时间检查与使用不一致(TOCTOU)漏洞,可引发越界写入,攻击者可借此以 VMX 进程权限执行代码。
· CVE-2025-22225(CVSS 8.2):ESXi 存在任意写入漏洞,可实现从 VMX 沙箱逃逸至内核层。
今年 1 月,Huntress 研究人员通报称,发现汉语区攻击者滥用遭入侵的 SonicWall VPN,投递针对 VMware ESXi 的攻击工具包。
该攻击链包含一套成熟的虚拟机逃逸方案,且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示,该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞,可见其对未知漏洞存在长期隐秘利用行为。
2025 年 12 月,Huntress 研究人员检测到一起入侵事件,攻击者最终部署了 VMware ESXi 漏洞利用工具包,其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据,表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成,可见幕后是一支资源充足的汉语区攻击团伙。
攻击者利用域管理员凭证开展横向渗透,实施侦察活动,修改防火墙规则以阻断外部访问、同时保留内网移动权限,并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击,通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸,或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。
该威胁团伙依靠一款名为 MAESTRO 的协调工具,管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动,通过自带驱动(BYOD)技术加载未签名漏洞利用驱动,并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化(ASLR)防护,滥用 HGFS 与 VMCI 接口漏洞,向 VMX 进程写入壳代码,最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet,可从客户机虚拟机对虚拟机管理程序实现持久化远程控制,同时规避传统网络监控,并恢复相关驱动以降低被检测概率。
Huntress 研究人员发现证据表明,该攻击链至少自 2024 年 2 月起就已被使用。报告指出:“漏洞利用二进制文件中包含程序数据库(PDB)路径,可据此窥探其开发环境。”
CISA 已更新已知被利用漏洞(KEV)目录中 CVE-2025-22225 的相关条目,确认该漏洞正被用于勒索软件攻击行动。
消息来源: cybersecuritynews:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文