關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.01.09
漏洞與風險/資安漏洞
VMware ESXi 零日漏洞可能在披露前一年就已被利用
虛擬化環境的隱形獵手:零日漏洞的預先滲透威脅

虛擬化技術已成為現代數據中心的基石,然而其底層管理程式(Hypervisor)的安全性始終是駭客組織攻擊的最高目標。根據資安媒體 BleepingComputer 與託管安全公司 Huntress 的最新揭露,一項針對 VMware ESXi 的攻擊行動顯示,威脅行為者早在漏洞正式披露與修補的一年前,就已經掌握並利用了關鍵的零日漏洞。這種「預先開發、長期潛伏」的攻擊模式,揭示了國家級背景或高度組織化駭客團體在漏洞挖掘與武器化方面的卓越能力,也對企業在虛擬化架構下的邊界防禦與內部隔離機制提出了嚴峻挑戰。


威脅行為者路徑:從 VPN 破口到虛擬機逃逸

本研究追蹤到一段關鍵的攻擊鏈。講中文的威脅行為者利用入侵的 SonicWall VPN 設備投放了 VMware ESXi 漏洞利用工具包,該工具包似乎是在目標漏洞被公開一年多之前開發的。Huntress(一家託管安全公司)分析了 2025 年 12 月的攻擊,駭客使用了複雜的虛擬機器 (VM) 逃逸技術,該技術可能利用了 2025 年 3 月披露的三個 VMware 零日漏洞。這三個漏洞中,只有一個被評為嚴重等級:

  1. CVE-2025-22224(嚴重性評分 9.3):虛擬機器通訊介面 (VMCI) 中的一個 TOCTOU 漏洞,會導致越界寫入,從而允許以 VMX 進程身分執行程式碼。
  2. CVE-2025-22225(嚴重性評分 8.2):ESXi 中的一個任意寫入漏洞,允許攻擊者逃逸 VMX 沙箱並進入核心。
  3. CVE-2025-22226(嚴重性評分 7.1):HGFS 檔案系統中的越界讀取漏洞,允許 VMX 進程記憶體洩漏。

博通公司 (Broadcom) 2025年5月4日在披露這些資訊時警告說,攻擊者可以利用管理員權限,透過一系列安全問題逃離虛擬機,並存取底層虛擬機管理程式。


跨越隔離邊界:TOCTOU 與記憶體腐蝕的連鎖反應

在技術層面上,此次攻擊展現了高度的精密度。首先,CVE-2025-22224 利用了「檢查時間與使用時間」(Time-of-Check to Time-of-Use, TOCTOU)的競態條件漏洞,這類漏洞極難偵測,因為它發生在系統檢查資源狀態與實際使用資源之間的極短瞬間。駭客藉此實現越界寫入(Out-of-Bounds Write),成功在 VMX 進程中取得控制權。

緊接著,透過 CVE-2025-22225 的任意寫入能力,攻擊者能夠進一步突破 VMX 沙箱。沙箱本應是保護 Hypervisor 的最後一道防線,但在此攻擊框架下,駭客成功進入內核(Kernel)層級。結合 CVE-2025-22226 對 HGFS 檔案系統的記憶體洩漏利用,攻擊者得以掌握系統記憶體佈局,大幅提高了攻擊的成功率與穩定性。這一系列組合拳使得虛擬機之間的隔離屏障形同虛設。


攻擊者的前瞻性佈局:漏洞工具包的開發與投放

最令資安社群震驚的發現在於時間線的落差。Huntress 的調查顯示,攻擊者所使用的工具包早在漏洞被大眾知曉前一年就已成形。這意味著在 2024 年甚至更早,該威脅組織就已經完成了對 VMware 底層代碼的研究與漏洞挖掘。

利用 SonicWall VPN 作為最初的進入點,反映了當前攻擊者傾向於打擊「防禦薄弱的網路邊緣設備」來換取內網的立足點。一旦進入內網,其目標便直指運算資源最集中的 ESXi 服務器。這種從邊際進入、向核心逃逸的策略,說明了為何僅僅修補終端應用是不夠的,必須全方位審視網路架構中的每一個節點。


企業防禦架構的強化建議與早期檢測

儘管研究人員高度確信 SonicWall VPN 是最初的入侵途徑,但他們建議各組織應用最新的 ESXi 安全性更新,並使用提供的 YARA 和 Sigma 規則進行早期檢測。

應從以下幾個維度強化安全性:

第一,落實「深度防禦」策略。企業應優先修補已知的高風險 VPN 與防火牆漏洞,因為這是駭客進入內網的門戶。對於 ESXi 主機,除了及時更新博通(Broadcom)發布的官方補丁外,應關閉不必要的服務,如 HGFS 或 VMCI 中未使用的功能。

第二,提升監測深度。傳統的流量監測往往無法察覺 VM 內部的異常行為。透過導入 Sigma 規則,資安團隊可以針對系統日誌中的異常 API 調用或非法記憶體存取進行即時警報。YARA 規則則可用於掃描存儲空間,尋找潛伏的惡意工具包特徵。

第三,權限與管理隔離。由於攻擊者需要管理員權限才能完成逃逸,因此嚴格限制對 ESXi 管理控制台(vCenter 或主機客戶端)的訪問至關重要。應實施多因素身份驗證(MFA)與專門的管理區隔網路(Management Network Segmentation),確保即便邊緣設備失守,核心管理層級仍保有最後的防禦力。


應對持續性零日威脅的長期抗戰

本次 VMware ESXi 零日漏洞事件再次敲響警鐘:我們所依賴的底層架構可能早已在駭客的監控之下。漏洞的「官方披露日」往往不是風險的開始日,而是風險已經存在的第 N 天。唯有透過主動的威脅狩獵(Threat Hunting)、嚴格的補丁管理以及對邊際設備的強化監控,才能在面對擁有「前瞻性武器」的威脅行為者時,保住企業核心資產的安全防線。


資料來源:https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/
 
探討 VMware ESXi 虛擬化平台之零日漏洞遭提前利用的資安事件,分析講中文的威脅行為者如何透過 SonicWall VPN 滲透並利用 VM 逃逸技術攻擊底層系統,並提供 CVE 漏洞詳細規格與企業防禦建議。