背景
資安公司Huntress近期偵測到中國駭客濫用VMware ESXi的三個漏洞進行攻擊活動,這些活動可能在漏洞公開之前就已經開始。2025年12月,Huntress發現了一起攻擊行動,攻擊者利用了VMware於2025年3月修補的三個ESXi漏洞:CVE-2025-22224(CVSS 9.3)、CVE-2025-22225(CVSS 8.2)和CVE-2025-22226(CVSS 7.1)。成功濫用這些漏洞的攻擊者可以取得管理員權限,進行記憶體資訊洩露或從虛擬機(VM)逃逸至ESXi主機,影響所有運行在該主機上的VM。
攻擊路徑
Huntress分析12月的入侵指標,發現攻擊者的複雜活動路徑。攻擊者首先從一個被駭的SonicWall VPN進入受害者的內部網路,並取得網域管理員憑證,進一步橫向移動,特別是針對VMware系統的濫用。
工具分析
分析其工具套件,發現一個二進位檔案中包含的PDB路徑,顯示名稱為「全版本逃逸–交付」及「ESXI_8.0u3」,時間標記為2024_02_19,顯示工具可能早在2024年初就已開發完成,且針對ESXi 8.0 Update 3的環境。這些簡體中文的訊息和文件夾名稱顯示開發者可能來自簡體中文使用區域,並且是資源豐沛的組織。
影響與建議
成功濫用這些漏洞的攻擊者可以利用VM Escape技術,從guest VM逃逸,進而控制ESXi hypervisor,影響該主機上的所有VM。研究人員建議管理員應確保VPN等邊界裝置的安全防護,並確保ESXi版本是最新的,因為VM隔離無法保證100%安全,尤其當Hypervisor存在漏洞時。該攻擊工具套件支援ESXi 5.1到8.0,使用已過支援期版本的用戶可能面臨風險。