Lỗ hổng CVE-2025-22224 là một trong ba lỗ hổng zero-day nghiêm trọng được Broadcom công bố vào ngày 4 tháng 3 năm 2025 trong bản tin bảo mật VMSA-2025-0004, ảnh hưởng đến các sản phẩm VMware như ESXi và Workstation. Đây là một lỗ hổng kiểu TOCTOU (Time-of-Check Time-of-Use) dẫn đến việc ghi vượt giới hạn (out-of-bounds write). Lỗ hổng này cho phép một kẻ tấn công có đặc quyền quản trị cục bộ (local administrative privileges) trên một máy ảo (virtual machine) thực thi mã dưới quyền của tiến trình VMX trên máy chủ (host). Điểm CVSS của lỗ hổng này là 9.3, được xếp vào mức Critical (nghiêm trọng).
Chi tiết kỹ thuật
- Mô tả: Lỗ hổng xảy ra do một điều kiện chạy đua (race condition) giữa thời điểm kiểm tra và thời điểm sử dụng tài nguyên, dẫn đến khả năng ghi dữ liệu ra ngoài phạm vi bộ nhớ được cấp phát. Điều này tạo điều kiện cho kẻ tấn công thực thi mã độc hại.
- Điều kiện khai thác: Kẻ tấn công cần có quyền quản trị cục bộ trên máy ảo để khai thác lỗ hổng này.
- Hậu quả: Nếu khai thác thành công, kẻ tấn công có thể vượt qua các giới hạn bảo mật của máy ảo và thực thi mã trên hệ thống máy chủ vật lý chạy VMware ESXi hoặc Workstation.
- Sản phẩm bị ảnh hưởng: VMware ESXi, VMware Workstation, và các sản phẩm liên quan như VMware vSphere, VMware Cloud Foundation.
Quy mô ảnh hưởng
Theo thông tin bạn cung cấp trong câu hỏi:
- Toàn cầu: Có hơn 41.500 hệ thống bị ảnh hưởng bởi lỗ hổng này. Con số này có thể xuất phát từ các báo cáo ban đầu về số lượng hệ thống chạy các phiên bản VMware dễ bị tấn công, dựa trên thống kê từ các tổ chức bảo mật hoặc dữ liệu quét toàn cầu.
- Việt Nam: Hơn 1.200 hệ thống tại Việt Nam được cho là bị ảnh hưởng. Điều này có thể phản ánh mức độ phổ biến của VMware trong các doanh nghiệp và tổ chức tại Việt Nam, đặc biệt trong các hạ tầng đám mây và ảo hóa.
Lưu ý rằng các con số này không xuất hiện trực tiếp trong dữ liệu công khai từ Broadcom hay Microsoft Threat Intelligence Center (MSTIC) – đơn vị phát hiện và báo cáo lỗ hổng – nhưng có thể dựa trên các ước tính từ các nguồn giám sát bảo mật như SOCRadar, CISA, hoặc các công ty phân tích rủi ro.
Tình hình khai thác
- Lỗ hổng này đã bị khai thác trong thực tế (in the wild) trước khi bản vá được phát hành, khiến nó trở thành mối đe dọa cấp bách. Microsoft Threat Intelligence Center ghi nhận hoạt động khai thác từ các tác nhân độc hại, có thể bao gồm các nhóm ransomware nhắm vào hạ tầng ảo hóa doanh nghiệp.
- Các sản phẩm VMware bị ảnh hưởng là mục tiêu hấp dẫn do vai trò quan trọng của chúng trong các trung tâm dữ liệu và môi trường đám mây.
Khuyến nghị
- Cập nhật bản vá: Broadcom đã phát hành bản cập nhật bảo mật cho các phiên bản bị ảnh hưởng (xem chi tiết tại advisory VMSA-2025-0004). Người dùng cần áp dụng ngay các bản vá này.
- Giảm thiểu rủi ro: Nếu không thể cập nhật ngay lập tức, hãy hạn chế quyền truy cập quản trị cục bộ trên các máy ảo và tăng cường giám sát các hoạt động bất thường trong hệ thống VMware.
- Kiểm tra hệ thống: Các tổ chức tại Việt Nam nên tiến hành quét hệ thống để xác định các phiên bản VMware dễ bị tấn công và ưu tiên vá lỗi.
