使用单个虚拟机掌控全局——VMware ESXi超管理器逃逸漏洞ESXicape的主动利用分析
昨日,VMware悄然发布了针对三个ESXi零日漏洞的补丁:CVE-2025-22224、CVE-2025-22225和CVE-2025-22226。
安全公告:
Support Content Notification - Support Portal - Broadcom support portal
VMware ESXi、Workstation和Fusion的多个漏洞已私下报告给VMware。更新现已发布…
虽然公告未明确说明,但这是一个超管理器逃逸(即虚拟机逃逸)。威胁攻击者可通过在虚拟机上运行代码,串联这三个漏洞来提升对ESX超管理器的访问权限。
VMware官方GitHub证实了这一点:
是的,该漏洞正在被野外主动利用。
一旦获得ESX访问权限,攻击者即可访问ESX服务器上的所有内容——包括虚拟机数据、关键的ESX配置和挂载存储。利用ESX配置和挂载的网络存储,攻击者可以横向遍历整个VMware环境。
示例示意图:
(可使用此精心准备的图表向董事会或公众进行简报)
例如,组织使用vMotion允许虚拟机在ESX主机间自动迁移,以实现负载均衡和无中断维护(这正是VMware安全补丁的工作方式)。因此,威胁攻击者通过设计可直接访问该主机上及未在该主机上的虚拟机存储——它们基本上在后端处于松散状态。
关注领域
ESXi是一个"黑盒"环境,没有EDR工具等安全措施——它处于锁定状态。因此,超管理器逃逸意味着威胁攻击者处于所有安全工具和监控范围之外。例如,他们可以访问Active Directory域控制器数据库而不会触发堆栈中任何位置的警报,或删除数据。
这在勒索软件事件中经常出现,攻击者通过未打补丁的漏洞通过VMware管理网络直接利用ESX服务器或vCenter服务器。一旦到达ESX,他们就可以直接访问整个集群的存储。
然而,能够直接从虚拟机到达ESX服务器超管理器显著增加了风险。例如,攻击者无需查找ESX服务器详细信息或到达隔离网络。
“但是Kevin”,你可能会说,“如果威胁攻击者获得对虚拟机的访问权限,游戏就结束了”。嗯……并非如此。在任何大型组织中,威胁攻击者始终会获得对端点的访问权限,例如最终用户PC上的恶意软件初始访问。当你在VMware上拥有VDI时,你就会遇到问题。当你在VMware上拥有共享服务器时,你就会遇到问题。短期内,公司中一个系统的泄露通常不是大问题。立即泄露所有系统则是一个大问题。
此外,约有500家VMware托管提供商,它们实际上作为云运营,允许SMB购买完全托管的虚拟机,基本上是按需计算。一个客户虚拟机的泄露将允许泄露同一托管提供商中的每个客户虚拟机。
这也适用于使用VMware构建自己的私有云并使用VMware隔离业务部门的公司。
受影响版本
出于某种原因,Broadcom公告目前不完整。例如,VMware的GitHub将6.5和6.7版本列为受影响,并且补丁可在VMware网站上获取——但截至撰写时,Broadcom网站上的VMware公告未将它们列为受影响。基本上,每个ESX版本都受到影响。
据了解5.5也受到影响,但它已停止支持,因此没有可用的补丁。
威胁形势
Microsoft在野外系统上发现了该漏洞利用并通知了VMware。
几周前,有人试图在论坛上以15万美元的价格出售虚拟机逃逸漏洞利用,受影响的版本号与现在受影响的版本号重叠。目前尚不清楚这是否相关。
目前该漏洞利用尚未"公开",因为它不在GitHub上,也没有人发布通过逆向补丁的分析报告。这为在更多细节公开之前打补丁提供了一个窗口期。如果有人公开发布完整的漏洞利用链,每个威胁攻击者都会对此趋之若鹜,因为它允许他们将组织中的少量访问权限升级为可能多个组织的完全访问权限。
此漏洞已被添加到CISA的已知可利用漏洞列表:
Kevin Beaumont (@GossiTheDog@cyberplace.social)
附件:1张图片 VMware ESXi漏洞添加到CISA KEV。致谢 @cisakevtracker@mastodon.social
解决方案
打补丁。如果组织没有保持最新,为ESX打补丁可能是一个真正的挑战,但vCenter在打补丁方面实际上很强大,包括在正确配置高可用性(vMotion等)的情况下对ESX进行无中断打补丁。VMware的GitHub分析报告表示使用紧急变更请求打补丁。
现在是找出如何打补丁的时候了。你需要达到更新版本。如果你的系统是6.5,你需要升级到受支持的版本或支付扩展安全支持以获得补丁。如果你的系统是5.5,你需要升级到受支持的版本。
在Mastodon上关注我获取实时更新:
https://cyberplace.social/invite/hHiX8ntL