2025年3月4日,美国网络安全和基础设施安全局(CISA)发布紧急警报,将三个关键VMware漏洞添加到其已知被利用漏洞(KEV)目录中,原因是有证据表明这些漏洞正在被积极利用。
这些漏洞编号为CVE-2025-22224、CVE-2025-22225和CVE-2025-22226,攻击者可以利用它们在有权限访问虚拟机(VM)的情况下提升权限、在虚拟机管理程序(hypervisor)上执行代码,并窃取敏感的内存数据。
这些漏洞由微软威胁情报中心(MSTIC)发现,影响VMware ESXi、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform等多个产品。
CISA的公告与Broadcom发布补丁的时间一致,强调联邦机构和私营企业应根据《绑定操作指令》(BOD)优先修复这些漏洞。
漏洞详情与分析
CVE-2025-22224:TOCTOU漏洞可能导致虚拟机管理程序被控制
CVE-2025-22224是三者中最严重的漏洞,CVSS评分为9.3。它是一个存在于VMware ESXi和Workstation中的“检查时间与使用时间不一致”(TOCTOU)竞争条件漏洞。
拥有虚拟机管理权限的攻击者可以利用该堆溢出漏洞在VMX进程(负责管理虚拟机操作的管理程序组件)中执行任意代码。成功利用该漏洞后,攻击者可以控制主机系统,并在虚拟化基础设施中进行横向移动。
CVE-2025-22225:任意写入漏洞可逃逸沙箱
CVE-2025-22225(CVSS评分8.2)允许经过身份验证的攻击者通过VMX进程向ESXi主机写入任意数据,从而实现沙箱逃逸。通过操纵内核内存,攻击者可以获得提升的权限,以部署恶意软件或破坏服务。
该漏洞在多租户云环境中尤为危险,因为单个被入侵的虚拟机可能会危及整个集群。
CVE-2025-22226:虚拟机管理程序内存泄露
第三个漏洞CVE-2025-22226(CVSS评分7.1)源于VMware的主机客户文件系统(HGFS)中的越界读取问题。
攻击者可以利用此漏洞从VMX进程中提取敏感数据,包括存储在虚拟机管理程序内存中的加密密钥或凭证。虽然其严重性低于前两个漏洞,但它可以为策划进一步攻击提供关键的情报信息。
修复建议与后续措施
Broadcom已为所有受影响的产品发布了修复补丁,包括:
- ESXi 8.0/7.0:补丁版本为ESXi80U3d-24585383和ESXi70U3s-24585291
- Workstation 17.x:版本17.6.3修复了CVE-2025-22224和CVE-2025-22226
- Fusion 13.x:更新版本13.6.3修复了CVE-2025-22226
使用VMware Cloud Foundation或Telco Cloud Platform的组织必须应用异步补丁或升级到已修复的ESXi版本。
CISA建议企业采取以下措施:
- 立即修补:优先为ESXi、Workstation和Fusion应用更新。
- 监控虚拟机活动:检测异常的权限提升或内存访问模式。
- 利用BOD 22-01框架:根据CISA的KEV时间表调整修复工作流程。
由于漏洞已经被利用,延迟修补可能导致与2024年vCenter Server事件类似的大规模数据泄露。虚拟化技术是支撑关键基础设施的重要基石,主动防御对于阻止寻求持久访问的国家级攻击者至关重要。
参考来源:
CISA Warns of Actively Exploited VMware Vulnerabilities, Urges Immediate Patching
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
