Три уязвимости VMware: ключевые риски и срочные патчи

4 марта Broadcom выпустила экстренные обновления для устранения трех уязвимостей — CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, которые затрагивают несколько продуктов VMware, включая ESXi, Workstation и Fusion. В бюллетене упоминается, что по информации Broadcom как минимум CVE-2025-22224 эксплуатируется в реальных атаках. Уязвимости позволяют выполнить «побег» из виртуальной машины и выполнить код в гипервизоре ESX (hypervisor escape). По информации из GitHub VMware, Microsoft Threat Intelligence Center первым обнаружил эксплойт в реальной среде и уведомил Broadcom. Но кто и против кого использовал этот эксплойт, компании не разглашают.

Уязвимости по данным Broadcom затрагивают VMware ESXi 7.0-8.0, Workstation 17.x, vSphere 6.5-8, Fusion 13.x, Cloud Foundation 4.5-5.x, Telco Cloud Platform 2.x-5.x, Telco Cloud Infrastructure 2.x-3.x, хотя некоторые эксперты считают, что список затронутых продуктов несколько шире. В частности, более старые версии, например 5.5, тоже должны быть подвержены уязвимости, но патчи для них выпущены не будут, эти версии не поддерживаются. По имеющимся оценкам на конец недели, уязвимостям подвержены более 41 тысячи серверов ESXi, расположенных во всех частях света — больше всего в Китае, Франции, США, Германии, Иране и Бразилии.

Какие ошибки устранены VMware

Наиболее серьезная уязвимость CVE-2025-22224 в VMware ESXi и Workstation получила рейтинг CVSS 9.3. Она связана с переполнением кучи (heap overflow) в VMCI и позволяет злоумышленнику с локальными административными привилегиями на виртуальной машине выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

Уязвимость CVE-2025-22225 в VMware ESXi (CVSS 8.2) позволяет злоумышленнику записать произвольный код в область ядра (arbitrary kernel write), то есть тоже подразумевает побег из «песочницы». CVE-2025-22226 является утечкой информации в HGFS (CVSS 7.1) и позволяет злоумышленнику с административными привилегиями на виртуальной машине извлекать содержимое памяти процесса VMX. Этой уязвимости подвержены VMware ESXi, Workstation и Fusion.

Опасные сценарии эксплуатации

Из описания уязвимостей следует, что для их эксплуатации злоумышленник должен уже скомпрометировать виртуальную машину и иметь на ней административные привилегии. Это кажется относительно высоким порогом входа, но на самом деле такой сценарий может воплотиться в жизнь достаточно легко. Главная опасность уязвимостей в том, что они резко сокращают число шагов, которое нужно сделать атакующему от компрометации одной виртуальной машины до полного захвата вычислительного кластера. Тройка уязвимостей позволяет атакующему попасть на уровень гипервизора, не проводя «шумное» сканирование сетевого окружения в поисках серверов и не требуя обхода мер сетевой безопасности. Вот типовые сценарии из жизни крупной организации, в которых это возможно.

• Виртуальные рабочие места (VDI) на базе VMware. Всего один сотрудник совершает ошибку и запускает вредоносное вложение на своем виртуальном рабочем месте. Вместо инфицирования одной рабочей станции получается масштабный инцидент.
• Гибридные и частные облака на базе VMware. Успешно скомпрометировав любой сервер через уязвимость публично доступного приложения, злоумышленник мгновенно развивает атаку на всю сеть.
• Аренда виртуальных серверов и рабочих станций (готовых VM) у MSP. Если клиент совершит ошибку и допустит заражение взятого в аренду хоста, следом будут скомпрометированы все клиенты MSP, которым выделены мощности в том же кластере.

Дополнительные сложности в обнаружении подобного инцидента и устранении его последствий создают особенности кластеров VMware. Злоумышленник, проникший на уровень гипервизора, автоматически получает доступ ко всем хранилищам, подключенным к кластеру. Атакующий может свободно проникать в любой участок среды VMware, а доступные ему из гипервизора файлы конфигурации позволяют хорошо изучить эту среду, не вызывая срабатываний средств безопасности.

В гипервизоре нет агента EDR, а возможности мониторинга того, что происходит на уровне кластера, для инструментов ИБ весьма ограничены. Хакер может получить доступ к важным данным, например базам данных Active Directory, не привлекая внимания защитников. Все перечисленное делает тройку дефектов VMware настоящим подарком для злоумышленников, особенно для банд ransomware. Они неоднократно проводили атаки на среды ESXi в прошлом (RansomExx, ESXiArgs, Clop и так далее).

Рекомендации организациям по защите

К счастью для бизнеса, на данный момент код для использования этих уязвимостей (PoC) не опубликован, поэтому широкая эксплуатация дефекта не началась. Тем не менее код эксплойта может появиться в любой момент, поэтому обновление продуктов VMware нужно провести быстро, в приоритетном режиме. Поскольку установка патчей для VMware-сред может быть сложной задачей, особенно в инфраструктуре с высокими требованиями доступности, организациям следует использовать такие инструменты, как vMotion, для установки патчей без простоя.

Для защиты от этих уязвимостей альтернатив обновлению нет. Но Broadcom также рекомендует провести ревизию настроек согласно руководству vSphere Hardening. В число прочего нужно убедиться, что инфраструктура VMware правильно сегментирована, чтобы ограничить доступ к сети управления гипервизором.

Весьма важно использовать инструменты облачной безопасности, в том числе убедиться, что агент EDR установлен и работает на виртуальных машинах. Это позволит обнаруживать и предотвращать начальный этап заражения, чтобы атакующие не получили нужный для эксплуатации уязвимостей административный доступ.