美国科技巨头博通警告称,恶意黑客正在积极利用三个 VMware 漏洞来入侵其企业客户的网络。这三个漏洞(一位安全研究人员将其统称为“ESXicape”)影响 VMware ESXi、Workstation 和 Fusion,它们是广泛使用的软件虚拟机管理程序产品,允许在单个服务器上管理多个虚拟机。虚拟机管理程序通常用于减少占用物理服务器空间的需要。
博通于 2023 年收购了 VMware,该公司表示,这些漏洞(追踪为 CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226)可能允许具有虚拟机管理员或 root 权限的攻击者逃离其受保护的沙盒并获得对底层虚拟机管理程序产品的更广泛的未经授权的访问。
通过访问虚拟机管理程序,攻击者可以访问任何其他虚拟机,包括同一物理数据中心内其他公司拥有的虚拟系统。博通表示,它有“信息表明”这些漏洞已被广泛利用。
威胁情报公司 Rapid7 的首席安全研究员 Stephen Fewer 告诉:“这影响巨大,攻陷虚拟机管理程序的攻击者可以继续攻陷共享同一虚拟机管理程序的任何其他虚拟机。”
博通没有透露有关攻击性质或幕后威胁行为者的任何细节,也没有透露是否有任何客户数据被访问。博通的发言人没有回应的问题。发现并向博通报告漏洞的微软也没有在发稿时做出回应。
安全研究员 Kevin Beaumont 在 Mastodon 上的一篇文章中表示,这三个漏洞正在被一个尚未命名的勒索软件组织积极利用。
VMware 漏洞经常成为勒索软件组织的目标,因为它们能够在一次攻击中被利用来破坏多台服务器,并且敏感的公司数据通常存储在这些虚拟化环境中。
微软在 2024 年发现,多个勒索软件组织在部署 Black Basta 和 LockBit 勒索软件的攻击中利用了 VMware 虚拟机管理程序漏洞,以窃取公司数据。去年,一场名为“ESXIArgs”的大规模黑客活动让勒索软件组织利用两年前出现的 VMware 漏洞攻击了全球数千家组织。
博通已发布针对这三个漏洞的补丁,由于这些漏洞在修复程序发布之前就被利用,因此被归类为“零日”漏洞。博通将其安全公告描述为“紧急”变更,并敦促客户尽快应用补丁。
美国政府网络安全机构 CISA 也警告联邦机构修补这些漏洞,该机构已将这些漏洞添加到其已知受到攻击的漏洞目录中。
