关键VMware ESXi、Workstation、Fusion漏洞在野利用 – Kudelski安全研究

摘要

3月4日，微软威胁情报中心（MSTIC）发现VMware产品中存在三个正在被活跃利用的关键漏洞。受影响的包括VMware ESXi、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform产品，这些漏洞允许远程代码执行（RCE）和权限提升。漏洞编号为CVE-2025-22224、CVE-2025-22225和CVE-2025-22226，是在发现定向威胁攻击活动后确定的。CISA已将这些问题添加到其已知被利用漏洞目录中。攻击者可利用这些缺陷获得系统未授权访问、远程执行任意代码并提升权限，对依赖这些VMware解决方案的环境构成重大风险。

其中两个漏洞被归类为关键级别，对VMware用户构成显著风险，而CVE-2025-22226虽标记为重要，但由于其数据泄露潜力仍需立即关注。

受影响系统和/或应用

下表捕获了受影响的VMware产品、版本、已识别漏洞、严重性和修复版本的基本信息。

技术细节/攻击概述

CVE-2025-22224：时间检查与使用时间（TOCTOU）漏洞 CVSSv3：9.3 - 严重级别 VMware ESXi和Workstation中的时间检查与使用时间（TOCTOU）竞争条件允许具有管理VM权限的攻击者利用VMX进程中的堆溢出漏洞。这使得攻击者能够控制主机系统，实现在虚拟化环境中的横向移动。

CVE-2025-22225：通过任意写入实现沙箱逃逸 CVSSv3：8.2 - 高严重性 经过身份验证的攻击者可以通过VMX进程向ESXi主机写入任意数据，触发沙箱逃逸。通过操纵内核内存，攻击者可以提升权限以部署恶意软件或中断服务。这在多租户环境中尤其危险。

CVE-2025-22226：虚拟机监控程序内存泄漏 CVSSv3：7.1 - 中等严重性 VMware的主机客户文件系统（HGFS）中的越界读取使攻击者能够从VMX进程提取敏感数据，如加密密钥和凭据。虽然严重性较低，但此缺陷为未来攻击提供了有价值的侦察数据。

缓解措施

确保为以下产品应用VMware的最新补丁：

• VMware ESXi：更新至ESXi 8.0/7.0的最新可用版本
• VMware Workstation/Fusion：分别更新至17.6.3和13.6.3
• VMware Cloud Foundation：更新至ESXi 7.0U3s、ESXi 8.0U2d和ESXi 8.0U3d（KB389385）
• VMware Telco Cloud Platform：更新至ESXi 7.0U3s（KB389385）

CFC正在做什么？

CFC将继续监控情况，并在需要时发送咨询更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后，立即收到扫描范围内发现的关键漏洞的相关结果。

Tenable ID：

• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

参考资料

• https://cybersecuritynews.com/cisa-warns-vmware-vulnerabilities/
• https://thehackernews.com/2025/03/vmware-security-flaws-exploited-in.html
• https://support.broadcom.com/web/ecx/support-contentnotification/-/external/content/SecurityAdvisories/0/25390
• https://www.cisa.gov/news-events/alerts/2025/03/04/cisa-adds-four-known-exploited-vulnerabilities-catalog
• KB389385