安全通告概述
通告编号:2025-019
发布日期:2025年3月4日
漏洞概述
VMware ESXi、Workstation和Fusion虚拟化产品中发现多个可导致本地代码执行的高危漏洞。成功利用这些漏洞可在管理员账户上下文环境中执行任意代码,攻击者可借此安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。
威胁情报
Broadcom旗下VMware已有信息表明这些漏洞在野利用已被发现。
受影响系统
- VMware ESXi 8.0, 7.0
- VMware Workstation 17.x
- VMware Fusion 13.x
- VMware Cloud Foundation 5.x, 4.5x
- VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
- VMware Telco Cloud Infrastructure 3.x, 2.x
风险等级
| 实体类型 | 风险级别 |
|---|---|
| 大中型政府机构 | 高 |
| 小型政府机构 | 中 |
| 大中型企业 | 高 |
| 小型企业 | 不适用 |
| 家庭用户 | 低 |
技术细节
高危漏洞
战术:执行(TA0041)
技术:命令与脚本解释器(T1059)
- CVE-2025-22224:VMware ESXi和Workstation中存在TOCTOU(检查时间与使用时间)漏洞,导致越界写入
- CVE-2025-22225:VMware ESXi存在任意写入漏洞
低危漏洞
CVE-2025-22226:VMware ESXi、Workstation和Fusion因HGFS中的越界读取导致信息泄露
修复建议
立即行动
- 经过适当测试后立即为受影响系统应用VMware提供的补丁(M1051:更新软件)
漏洞管理
保障措施7.1:建立并维护漏洞管理流程
- 为企业资产建立文档化漏洞管理流程,每年或发生重大变更时审查更新
保障措施7.4:执行自动化应用补丁管理
- 每月或更频繁地通过自动化补丁管理执行应用更新
保障措施7.5:执行内部资产自动化漏洞扫描
- 每季度或更频繁地使用SCAP兼容工具进行认证和非认证扫描
内容限制
M1021:限制基于Web的内容
- 限制特定网站访问、阻止下载/附件、阻止JavaScript、限制浏览器扩展等
保障措施2.3:处理未授权软件
- 确保从企业资产中移除未授权软件或获得文档化例外,每月审查
保障措施2.7:授权脚本白名单
- 使用数字签名和版本控制等技术控制,仅允许特定.ps1、.py等授权脚本执行
网络过滤
保障措施9.3:维护并执行基于网络的URL过滤
- 更新网络URL过滤器,限制连接潜在恶意网站
保障措施9.6:阻止不必要的文件类型
- 阻止非常规文件类型通过邮件网关进入企业
权限管理
M1026:特权账户管理
- 对所有系统和服务应用最小权限原则,以非特权用户身份运行软件
保障措施4.7:管理默认账户
- 管理root、administrator等默认账户,禁用或使其不可用
保障措施5.4:限制管理员权限
- 将管理员权限限制于专用管理员账户,常规操作使用非特权账户
执行防护
M1038:执行预防
- 通过应用控制和/或脚本阻止在系统上执行代码
保障措施2.5:授权软件白名单
- 使用应用白名单等技术控制确保仅授权软件可执行
保障措施2.6:授权库白名单
- 确保仅授权软件库(如.dll、.ocx、.so等)可加载到系统进程
功能管理
M1042:禁用或移除功能
- 移除或拒绝访问不必要的易受攻击软件,防止被攻击者滥用
保障措施4.1:建立安全配置流程
- 为企业资产和软件建立安全配置流程,每年审查更新
保障措施4.8:卸载或禁用不必要的服务
- 卸载或禁用未使用的文件共享服务、Web应用模块等服务功能
渗透测试
保障措施18.3:修复渗透测试发现
- 根据企业修复范围和优先级策略修复渗透测试发现
保障措施18.5:执行定期内部渗透测试
- 根据项目要求每年至少执行一次内部渗透测试
参考链接
- Broadcom安全公告:https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
- CVE详细信息:
- CVE-2025-22224
- CVE-2025-22225
- CVE-2025-22226