資安公司 Huntress 揭露一起針對 VMware ESXi 的複雜攻擊行動。駭客運用虛擬機逃脫(VM Escape)技術,成功從虛擬機突破至底層伺服器。更令人憂心的是,
攻擊工具包可能在漏洞公開披露前就已開發完成,並潛伏運作超過一年。
零時差漏洞潛伏逾年才遭曝光
這起攻擊利用三個直到 2025 年 3 月才由 Broadcom 公開揭露並修補的 VMware 漏洞:CVE-2025-22224(CVSS 評分 9.3,嚴重等級)、CVE-2025-22225(評分 8.2)及 CVE-2025-22226(評分 7.1)。
CVE-2025-22226 是主機客體檔案系統(HGFS)的越界讀取漏洞,可從 VMX 程序洩漏記憶體內容。CVE-2025-22224 是虛擬機通訊介面(VMCI)的檢查時間與使用時間(TOCTOU)漏洞,導致越界寫入,讓攻擊者以 VMX 程序權限執行程式碼。CVE-2025-22225 則是 ESXi 的任意寫入漏洞,使攻擊者能從 VMX 沙箱逃脫至核心層級。
研究人員從工具包的程式資料庫(PDB)路徑發現,攻擊工具的開發時間遠早於漏洞公開。路徑中包含「2024_02_19」和「2023_11_02」時間戳記,顯示工具包最早可能在 2023 年 11 月就已開始開發。除了攻擊者掌握零時差漏洞的時間比官方修補早了超過一年外,該工具包也能在 155 個不同版本的 VMware 軟體上運作,涵蓋 5.1 版到 8.0 版。
MAESTRO工具包的精密攻擊鏈
根據 Huntress 研究人員的調查,這起攻擊發生於 2025 年 12 月。駭客透過遭入侵的 SonicWall VPN 設備進入企業網路,取得網域管理員帳號。接著,他們使用遠端桌面協定(RDP)橫向移動,並部署名為 MAESTRO 的攻擊工具包。
MAESTRO 的核心元件 exploit.exe 負責協調整個攻擊流程,其整合 devcon.exe 停用 VMCI 驅動程式,並透過開源工具 Kernel Driver Utility (KDU) 載入未簽章的核心驅動程式 MyDriver.sys。這個驅動程式會辨識 ESXi 版本並觸發漏洞利用,將三階段攻擊載荷寫入 VMX 程序記憶體,包括準備環境的 shellcode、建立據點的 shellcode,以及 VSOCKpuppet 後門程式。
攻擊的關鍵技術在於覆寫 VMX 的函式指標。當 VMX 處理 VMCI 訊息時,會跳轉至攻擊者的 shellcode 而非合法程式碼,最終完成沙箱逃脫並取得 hypervisor 控制權。
利用VSOCK隱蔽通訊繞過偵測
VSOCKpuppet 後門透過虛擬通訊端(VSOCK)在 10000 埠建立通訊。這種通訊方式在虛擬機與 hypervisor 之間提供直接路徑,完全繞過傳統網路監控。攻擊者還開發 GetShell Plugin 客戶端程式,可從任何 Windows 虛擬機連接至遭入侵的 ESXi 主機,執行檔案傳輸和 shell 指令。
值得注意的是,工具包以 ZIP 壓縮檔形式部署,內含詳細的 README 使用說明,顯示其設計目的是供其他使用者操作。攻擊者會修改伺服器設定來阻止系統對外求援,展現高度隱蔽性。雖然 Huntress 及時攔截,避免演變為勒索軟體事件,但研究人員認為這很可能是駭客的最終目標。
疑似中國駭客私下銷售工具包
工具包中多處出現簡體中文字串,包括資料夾名為「全版本逃脫交付」。結合攻擊鏈的複雜程度以及提前掌握零時差漏洞的能力,研究人員評估這很可能是由中文語系地區資源充足的開發者所製作。
Huntress 評估這個工具包透過私人管道銷售,而非在暗網公開販售。README 檔案的存在及針對性部署的特徵顯示,工具包可能選擇性地分發給經過審查的買家。這符合高階攻擊工具避免廣泛傳播,以防安全廠商開發出偵測特徵碼的特例。
防護建議
針對這類威脅,Huntress 建議企業組織採取以下防護措施:
- 立即為 VMware ESXi 系統套用最新的安全更新
- 檢查伺服器是否存在異常活動跡象
- 使用 Huntress 提供的 YARA 和 Sigma 規則進行早期偵測
- 審查並強化 VPN 設備的安全防護,避免成為初始入侵點
- 監控 VSOCK 通訊活動,傳統網路監控工具無法偵測這類隱蔽通道
- 定期檢視管理員帳號的使用狀況,防止帳號遭竊用於橫向移動
本文轉載自 Hackread、TheHackerNews、BleepingComputer。