圈小蛙
美国科技巨头博通警告称,恶意黑客正在积极利用三个 VMware 漏洞来入侵其企业客户的网络。
这三个漏洞被一位安全研究人员统称为“ESXicape”,影响 VMware ESXi、Workstation 和 Fusion,它们是广泛使用的软件虚拟机管理程序产品,允许在单个服务器上管理多个虚拟机。虚拟机管理程序通常用于减少占用物理服务器空间的需求。
2023 年收购 VMware 的博通表示,这些漏洞(追踪为 CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226)可能允许具有虚拟机管理员或 root 权限的攻击者逃离其受保护的沙盒并获得对底层虚拟机管理程序产品的更广泛的未经授权的访问。
通过访问虚拟机管理程序,攻击者可以访问任何其他虚拟机,包括同一物理数据中心内其他公司拥有的虚拟系统。
博通表示,有“信息表明”这些漏洞已被广泛利用。
威胁情报公司 Rapid7 的首席安全研究员 Stephen Fewer 告诉 TechCrunch:“这造成的影响是巨大的,攻陷虚拟机管理程序的攻击者可以继续攻陷共享同一虚拟机管理程序的任何其他虚拟机。”
博通没有透露有关攻击性质或幕后威胁者的任何细节,也没有透露是否有任何客户数据被访问。安全研究员 Kevin Beaumont 在Mastodon 的一篇文章中表示,这三个漏洞正在被一个尚未透露姓名的勒索软件组织积极利用。
VMware 漏洞经常成为勒索软件组织的目标,因为它们可以在一次攻击中被利用来危害多台服务器,而且敏感的公司数据通常存储在这些虚拟化环境中。 早在2024年,外媒曾诬称中国黑客利用VMware漏洞作为零日漏洞长达两年。
微软在 2024 年发现,多个勒索软件组织在针对公司数据的数据窃取活动中部署了 Black Basta 和 LockBit 勒索软件,利用了 VMware 虚拟机管理程序漏洞。去年,一场名为“ESXiArgs”的大规模黑客活动发现,勒索软件组织利用了两年前的 VMware 漏洞,针对全球数千家组织发起攻击。
博通已针对这三个漏洞发布了补丁,由于这些漏洞在修复发布之前就已被利用,因此被归类为“零日漏洞” 。博通将其安全公告描述为“紧急”变更,并敦促客户尽快应用补丁。
美国政府网络安全机构 CISA 也警告联邦机构修补这些漏洞,该机构已将这些漏洞添加到已知受到攻击的漏洞目录中。