Broadcom旗下VMware產品爆重大漏洞。美國網路安全與基礎設施安全局(CISA)已確認這三個嚴重零日漏洞正在被駭客積極利用,這些漏洞影響了包括ESXi、vSphere、Workstation、Fusion等多款VMware產品。
這三個編號為CVE-2025-22224、CVE-2025-22225和CVE-2025-22226的漏洞,攻擊難度和潛在破壞力令資安專家倍感憂心。
其中最為嚴重的CVE-2025-22224漏洞,危害等級高達9.3(滿分10分),允許擁有虛擬機器管理員權限的攻擊者執行惡意程式碼。
CVE-2025-22224漏洞細節顯示攻擊者若已取得虛擬機器的管理員權限,可以利用這一漏洞在主機系統上以VMX進程執行任意程式碼。這意味著攻擊者可以突破虛擬機器的隔離機制,直接控制底層的虛擬主機系統。Keeper Security的網路安全專家Patrick Tiquet指出,
這種攻擊方式實質上是一種「虛擬機逃逸」(VM Escape)技術,允許攻擊者從一個被入侵的虛擬機器獲取對整個伺服器的控制權。
CVE-2025-22225是另一個危險的漏洞,被歸類為任意寫入(Arbitrary Write)漏洞。這一漏洞允許攻擊者在VMX進程中觸發任意內核寫入,進一步降低了虛擬機器沙盒的防禦能力。而CVE-2025-22226是一個資訊洩露漏洞,攻擊者可以利用主機共用檔案系統(HGFS)中的越界讀取缺陷,從VMX進程中洩露記憶體內容。
這三個漏洞的攻擊鏈非常精密。根據Broadcom的技術報告,攻擊者需要首先獲得虛擬機器的管理員或根用戶權限。一旦突破這一層防線,攻擊者將獲得極其危險的系統控制能力。具體而言,攻擊者可以在主機系統上執行任意程式碼,完全繞過虛擬機器的沙盒隔離機制。
更加危險的是,他們能夠洩露關鍵系統記憶體資訊,並潛在地控制運行在同一伺服器上的所有其他虛擬機器,實現對整個虛擬化環境的全面入侵。
受影響的產品版本包括:
- VMware ESXi 8.0(修復版本:ESXi80U3d-24585383, ESXi80U2d-24585300)
- VMware ESXi 7.0(修復版本:ESXi70U3s-24585291)
- VMware Workstation 17.x(修復版本:17.6.3)
- VMware Fusion 13.x(修復版本:13.6.3)
- VMware Cloud Foundation 4.x和5.x
- VMware Telco Cloud Platform多個版本
網路安全公司Rapid7強調,這些漏洞特別危險,因為
ESXi虛擬主機一直是金融犯罪集團和國家級黑客組織的熱門攻擊目標。雖然目前尚未發現這些漏洞的公開利用程式碼,但微軟威脅情報中心已確認在野利用。
這種攻擊並非首次出現。去年11月,Broadcom曾警告攻擊者利用
vCenter Server漏洞;今年1月,更披露
中國國家級駭客自2021年底就已開始利用類似的關鍵漏洞部署後門程式。
CISA已將這些漏洞納入KEV(已知被利用漏洞)目錄,要求聯邦民事機構必須在2025年3月25日前完成修補。對於企業用戶,建議立即採取以下防護措施:
- 盡快更新至最新的安全版本
- 嚴格控制虛擬機器的管理員權限
- 加強虛擬化環境的監控和入侵檢測
- 實施多層次的安全防禦策略