Уязвимости VMware ESXi используются киберпреступниками!

Компания VMware подтвердила наличие трёх опасных уязвимостей в своих продуктах ESXi, Workstation и Fusion. В официальном уведомлении по безопасности VMSA-2025-0004 отмечается, что злоумышленники уже активно используют эти уязвимости.

Данные уязвимости, обозначенные как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, позволяют киберпреступникам совершать следующие атаки:

✅ Запуск вредоносного кода
✅ Повышение привилегий (privilege escalation)
✅ Кража конфиденциальных данных из памяти системы

Самая опасная уязвимость, CVE-2025-22224, получила оценку 9.3 по шкале CVSSv3 и позволяет атакующему выполнить код на уровне гипервизора, используя скомпрометированную виртуальную машину. Это может полностью нарушить безопасность виртуальной инфраструктуры.

Детальный анализ уязвимостей

1. CVE-2025-22224 – Переполнение кучи в VMCI (Heap Overflow)

Эта критическая уязвимость обнаружена в VMware VMCI (Virtual Machine Communication Interface). Если злоумышленник имеет локальные права администратора в виртуальной машине, он может выполнить код на хост-системе.

🔹 Причина уязвимости: ошибка TOCTOU (Time-of-Check-to-Time-of-Use), связанная с разницей во времени между проверкой данных и их использованием, что приводит к out-of-bounds записи.
🔹 Кто обнаружил? Эксперты из Microsoft Threat Intelligence Center.
🔹 Используется в атаках? Да, уязвимость уже эксплуатируется киберпреступниками.

2. CVE-2025-22225 – Запись произвольных данных в ядро (Arbitrary Write)

Эта уязвимость, оценённая в 8.2 по CVSS, позволяет атакующему, имеющему доступ к процессу VMX, записывать произвольные данные в память ядра, обходя механизмы защиты.

🔹 Чем опасна? Позволяет атакующим изменять важные системные данные и получать привилегии администратора.

3. CVE-2025-22226 – Утечка информации через HGFS (Host-Guest File System)

Уязвимость CVE-2025-22226 имеет рейтинг 7.1 по CVSS и связана с HGFS (Host-Guest File System). Она позволяет атакующему, обладающему правами администратора VM, похищать конфиденциальные данные из памяти хоста.

🔹 Основной риск: Утечка важных данных с хост-системы, что может привести к серьёзным последствиям.

Предыдущие атаки на VMware

📌 В июле 2024 года хакерские группировки Akira и Black Basta использовали уязвимость CVE-2024-37085 для компрометации более 20 000 серверов ESXi, шифрования виртуальных машин и последующего вымогательства.

📌 В 2022 году уязвимость VMSA-2022-0004 позволяла злоумышленникам использовать ошибки в виртуальном USB-контроллере для осуществления атак VM Escape.

Эти случаи подтверждают, что атаки на инфраструктуру виртуализации становятся всё более серьёзной угрозой.

🔥 Срочные меры по защите

VMware настоятельно рекомендует немедленно обновить уязвимые системы:

🔹 ESXi 8.x: установить обновления, указанные в уведомлении VMSA-2025-0004.
🔹 Workstation/Fusion: обновиться до версий 17.5.2 или 18.5.1.
🔹 Cloud Foundation/Telco Cloud: применить обновления в соответствии с инструкциями VMware.

🚨 Важно! Для этих уязвимостей не существует обходных решений, поэтому обновления необходимо устанавливать без промедления!

🔹 Дополнительные рекомендации по безопасности

✅ Изолируйте ESXi-хосты – они не должны иметь прямого подключения к интернету.
✅ Ограничьте права администраторов – предоставляйте минимально необходимые привилегии.
✅ Включите двухфакторную аутентификацию для повышения защиты учетных записей.
✅ Следите за новыми угрозами – подписывайтесь на официальные обновления VMware.

📌 Вывод

🔹 Уязвимости в VMware ESXi, Workstation и Fusion представляют серьёзную угрозу для кибербезопасности.
🔹 Злоумышленники уже активно эксплуатируют эти уязвимости.
🔹 VMware выпустила обновления, которые необходимо установить незамедлительно.
🔹 Задержка с обновлением создаёт ненужный риск и может привести к компрометации всей виртуальной инфраструктуры.

🛡 Кибербезопасность – это постоянная борьба. Не откладывайте защиту своих систем – обновите их уже сегодня! 🔐