Những Lỗ Hổng Bảo Mật Nghiêm Trọng Trên VMware ESXi và Cách Giải Quyết

Tổng Quan về Các Lỗ Hổng

Các lỗ hổng đang được đề cập bao gồm:

• CVE-2025-22224: Lỗi tràn bộ nhớ trên đống trong trình điều khiển VMCI của VMware, cho phép kẻ tấn công có quyền quản trị viên VM thực thi mã trên tiến trình VMX của máy chủ.
• CVE-2025-22225: Lỗi ghi tùy ý, cho phép kẻ tấn công tăng quyền và kiểm soát mức kernel của các máy chủ ESXi.
• CVE-2025-22226: Lỗ hổng rò rỉ bộ nhớ hypervisor, tạo điều kiện cho việc đánh cắp thông tin xác thực và cho phép di chuyển bên trong đến vCenter và các hệ thống quan trọng khác.

Tác Động và Khai Thác

Các lỗ hổng này đang bị khai thác một cách chủ động trong thực tế, gây ra mối đe dọa nghiêm trọng cho các môi trường ảo hóa. Quy trình tấn công bao gồm:

1. Sự xâm nhập ban đầu: Kẻ tấn công xâm nhập vào một VM có giao diện internet, thường thông qua web shell hoặc thông tin xác thực bị đánh cắp.
2. Thoát VM: Khai thác CVE-2025-22224 để thoát khỏi sandbox của VM và thực thi mã trên máy chủ ESXi.
3. Tăng quyền truy cập: Sử dụng CVE-2025-22225 để có quyền truy cập ở mức kernel.
4. Đánh cắp thông tin xác thực: Trích xuất thông tin xác thực từ bộ nhớ thông qua CVE-2025-22226, vượt qua phát hiện dựa trên mạng.

Phơi Bày Toàn Cầu

Các lỗ hổng này ảnh hưởng đến một số lượng lớn các phiên bản VMware ESXi, với hơn 41.500 phiên bản tiếp xúc trên internet được báo cáo là có nguy cơ đối với CVE-2025-22224 tính đến ngày 4 tháng 3 năm 2025. Phần lớn các phiên bản này nằm ở Trung Quốc, Pháp, Hoa Kỳ, Đức, Iran, Brazil và Hàn Quốc.

Giảm thiểu và Cập nhật

Broadcom đã phát hành các bản cập nhật khẩn cấp để giải quyết các lỗ hổng này, bao gồm:

• VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
• VMware ESXi 7.0: ESXi70U3s-24585291
• VMware ESXi 6.7: ESXi670-202503001
• VMware Workstation 17.x: 17.6.3
• VMware Fusion 13.x: 13.6.3

Các tổ chức được khuyến cáo áp dụng ngay các bản vá này để ngăn chặn việc khai thác.

Thách Thức An Ninh

Các nhóm bảo mật đối mặt với nhiều thách thức trong việc giám sát, bao gồm:

• Hypervisor Blind Spots: Chỉ 38% tổ chức theo dõi nhật ký máy chủ ESXi để phát hiện bất thường trong quản lý VM.
• Noise Overload: Nhật ký VMware với khối lượng cao thiếu tối ưu hóa bảo mật, cho phép kẻ tấn công trà trộn.
• Segmentation Failures: 72% tổ chức bị ảnh hưởng thiếu phân đoạn vi mô giữa các giao diện quản lý và mạng sản xuất.

Các Cuộc Tấn Công Ransomware

Các lĩnh vực chăm sóc sức khỏe và tài chính báo cáo tỷ lệ tấn công cao nhất, với kẻ thù mã hóa toàn bộ hệ thống hồ sơ bệnh nhân và cơ sở dữ liệu giao dịch trong vòng 47 phút sau khi xâm nhập ban đầu. Yêu cầu tiền chuộc trung bình từ 2–5 triệu đô la, với chiến thuật ép buộc kép đe dọa rò rỉ dữ liệu trên các diễn đàn dark web.