Ngày 15 tháng 7 năm 2025, Broadcom đã công bố bốn lỗ hổng nghiêm trọng trong bộ giải pháp ảo hóa VMware, cho phép kẻ tấn công thoát khỏi máy ảo và thực thi mã trực tiếp trên hệ thống máy chủ. Các lỗ hổng này, được phát hiện thông qua cuộc thi Pwn2Own, ảnh hưởng đến các sản phẩm ESXi, Workstation, Fusion và VMware Tools trên cả môi trường doanh nghiệp và máy tính để bàn.
Các Lỗ Hổng Nghiêm Trọng Được Phát Hiện
CVE-2025-41236: Lỗi Integer Overflow trong VMXNET3
Lỗ hổng nghiêm trọng nhất, CVE-2025-41236, nằm trong bộ điều hợp mạng ảo VMXNET3. VMXNET3 là một bộ điều hợp mạng ảo hiệu suất cao, được VMware thiết kế để cung cấp thông lượng và hiệu suất mạng tối ưu trong môi trường ảo hóa. Do tính phổ biến và vai trò quan trọng của nó trong việc kết nối mạng ảo, một lỗ hổng trong VMXNET3 có thể có tác động sâu rộng.
Kẻ tấn công với đặc quyền quản trị bên trong máy ảo khách có thể kích hoạt lỗi tràn số nguyên (integer overflow). Lỗi tràn số nguyên xảy ra khi một phép tính toán số học cố gắng tạo ra một giá trị số vượt quá giới hạn mà kiểu dữ liệu số nguyên có thể biểu diễn. Điều này thường dẫn đến hành vi “cuộn lại” (wrap-around), mà kẻ tấn công có thể thao túng để ghi dữ liệu vào các vị trí bộ nhớ tùy ý hoặc thực thi mã độc.
Việc khai thác lỗ hổng này cho phép thực thi mã tùy ý trên hệ thống máy chủ bên dưới, nghĩa là kẻ tấn công có thể thoát khỏi môi trường máy ảo và kiểm soát hoàn toàn hệ thống vật lý. Lỗ hổng này ảnh hưởng đến bộ điều hợp mạng ảo được triển khai phổ biến nhất của VMware, khiến nó đặc biệt nguy hiểm đối với các môi trường đám mây và doanh nghiệp nơi nhiều máy ảo chia sẻ một nền tảng máy chủ.
CVE-2025-41237: Lỗi Integer Underflow trong VMCI
CVE-2025-41237 nhắm vào Giao diện Giao tiếp Máy ảo (VMCI – Virtual Machine Communication Interface). VMCI là một giao diện hiệu quả cho các tương tác tốc độ cao giữa máy chủ và máy khách, bao gồm các chức năng như chia sẻ clipboard và kéo thả dữ liệu. Một lỗ hổng giảm số nguyên (integer underflow) trong VMCI dẫn đến việc ghi bộ nhớ ngoài giới hạn (out-of-bounds memory writes), làm tổn hại tiến trình VMX.
Lỗi giảm số nguyên là một biến thể của lỗi tràn số, xảy ra khi một phép toán tạo ra một giá trị nhỏ hơn giới hạn dưới của kiểu dữ liệu. Tương tự như tràn số, điều này có thể dẫn đến việc ghi dữ liệu vào các vùng bộ nhớ không mong muốn, gây hỏng dữ liệu hoặc cho phép thực thi mã độc hại. Tiến trình VMX (Virtual Machine Executable) là một tiến trình đặc quyền trên máy chủ quản lý các máy ảo, bao gồm mô phỏng thiết bị. Việc làm tổn hại tiến trình này là cực kỳ nghiêm trọng.
Trong ESXi, dù tiến trình VMX bị tổn hại, cơ chế sandbox của nó vẫn cố gắng hạn chế phạm vi tác động của khai thác trong chính tiến trình VMX. Tuy nhiên, đối với người dùng Workstation và Fusion, việc khai thác lỗ hổng này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống máy chủ, phá vỡ ranh giới ảo hóa và cho phép kẻ tấn công thực hiện các hành động độc hại ở cấp độ nền tảng.
CVE-2025-41238: Lỗi Heap Overflow trong Bộ Điều Khiển SCSI
Lỗ hổng nghiêm trọng thứ ba, CVE-2025-41238, ảnh hưởng đến bộ điều khiển SCSI bán ảo hóa (paravirtualized SCSI controller) thông qua một lỗ hổng tràn bộ nhớ heap (heap overflow). Bộ điều khiển SCSI bán ảo hóa đóng vai trò quan trọng trong việc cung cấp khả năng truy cập lưu trữ hiệu quả cho các máy ảo.
Lỗi tràn bộ nhớ heap xảy ra khi một chương trình cố gắng ghi dữ liệu vượt quá kích thước được cấp phát của một vùng đệm trên vùng nhớ heap. Điều này có thể ghi đè lên bộ nhớ liền kề, dẫn đến sự cố chương trình, hỏng dữ liệu, hoặc quan trọng hơn là cho phép thực thi mã độc hại được kiểm soát bởi kẻ tấn công. Kẻ tấn công có thể khai thác vấn đề này để đạt được khả năng thực thi mã ở cấp độ máy chủ, cho phép kẻ tấn công kiểm soát toàn bộ hệ thống nền tảng.
Mặc dù các triển khai ESXi chỉ dễ bị tấn công trong các cấu hình không được hỗ trợ (ít phổ biến hơn), các sản phẩm ảo hóa máy tính để bàn (Workstation, Fusion) vẫn bị phơi nhiễm hoàn toàn trước lỗ hổng này, tạo ra rủi ro đáng kể cho người dùng cá nhân và doanh nghiệp sử dụng các sản phẩm này.
CVE-2025-41239: Lỗ Hổng Tiết Lộ Thông Tin trong vSockets
CVE-2025-41239, mặc dù được xếp hạng thấp hơn với CVSS 7.1, vẫn là một lỗ hổng đáng lo ngại. Lỗ hổng này cho phép tiết lộ thông tin thông qua việc đọc bộ nhớ chưa khởi tạo (uninitialized memory reads) trong vSockets. Đọc bộ nhớ chưa khởi tạo xảy ra khi một chương trình đọc từ một vị trí bộ nhớ chưa được gán giá trị rõ ràng. Điều này có thể làm lộ dữ liệu còn sót lại từ các hoạt động trước đó trong bộ nhớ, vốn có thể chứa thông tin nhạy cảm.
Lỗ hổng này ảnh hưởng đến VMware Tools cho Windows, một bộ tiện ích tăng cường hiệu suất và khả năng quản lý cho các máy ảo Windows. Dữ liệu nhạy cảm có thể bị rò rỉ bao gồm khóa mật mã, thông tin cấu hình hệ thống, hoặc các con trỏ kernel, vốn có thể được kẻ tấn công sử dụng để vượt qua các cơ chế bảo mật khác, tìm kiếm các lỗ hổng khác hoặc thực hiện các cuộc tấn công phức tạp hơn bằng cách cung cấp thông tin quý giá về cấu trúc bộ nhớ của hệ thống.
Sản Phẩm Bị Ảnh Hưởng và Tác Động
Các lỗ hổng này tác động đến một loạt các sản phẩm của VMware, bao gồm:
- VMware Cloud Foundation
- vSphere Foundation
- ESXi
- Workstation Pro
- Fusion
- VMware Tools
- Và nhiều nền tảng Telco Cloud khác.
Tất cả các sản phẩm này đều chia sẻ mã giả lập thiết bị dễ bị tấn công, tạo ra một bề mặt tấn công rộng lớn trên toàn bộ hệ sinh thái của VMware. Điều này có nghĩa là một lỗ hổng trong một thành phần lõi có thể ảnh hưởng đến nhiều sản phẩm khác nhau, tăng cường rủi ro tổng thể và phức tạp hóa quy trình vá lỗi cho các tổ chức.
Quá Trình Phát Hiện và Khai Thác
Các nhà nghiên cứu bảo mật từ STARLabs SG, REverse Tactics, Synacktiv và THEORI đã phát hiện ra các lỗ hổng này trong cuộc thi Pwn2Own Tokyo 2025. Pwn2Own là một cuộc thi khai thác lỗ hổng nổi tiếng, nơi các nhà nghiên cứu trình diễn khả năng khai thác các phần mềm và thiết bị phổ biến. Họ đã chứng minh khả năng khai thác thành công với tỷ lệ tin cậy gần 100%, cho thấy mức độ nghiêm trọng và khả năng tái lập của các lỗ hổng. Điều này cũng xác nhận rằng các lỗ hổng không chỉ là lý thuyết mà có thể bị khai thác một cách đáng tin cậy trong môi trường thực tế.
Biện Pháp Khắc Phục và Khuyến Nghị Bảo Mật
Broadcom đã phát hành các bản vá cho tất cả các phiên bản bị ảnh hưởng nhưng không cung cấp giải pháp tạm thời (workaround) nào. Việc không có giải pháp tạm thời đồng nghĩa với việc cập nhật phần mềm là biện pháp duy nhất để bảo vệ hệ thống khỏi các mối đe dọa này. Các tổ chức phải cập nhật ngay lập tức lên các phiên bản đã khắc phục lỗi:
- ESXi 7.x thông qua 8.0 U3b
- Workstation Pro 17.5.1
- Fusion Pro 13.5.1
- VMware Tools 12.5.3 (khắc phục lỗ hổng vSockets dành riêng cho Windows)
Công ty nhấn mạnh rằng việc vá cả thành phần siêu giám sát (hypervisor) và công cụ (Tools) là điều cần thiết. Nếu chỉ cập nhật siêu giám sát, lỗ hổng tiết lộ thông tin trong VMware Tools (CVE-2025-41239) vẫn sẽ còn hoạt động, khiến hệ thống tiếp tục dễ bị tấn công và rò rỉ dữ liệu nhạy cảm. Do đó, một chiến lược vá lỗi toàn diện là bắt buộc.
Với các khai thác Proof-of-Concept đã được trình diễn công khai, các nhóm bảo mật cần ưu tiên vá lỗi khẩn cấp để ngăn chặn khả năng bị xâm nhập máy chủ. Sự tồn tại của các khai thác PoC làm tăng cấp độ rủi ro, vì nó cung cấp lộ trình rõ ràng cho các tác nhân đe dọa để phát triển và triển khai các cuộc tấn công nhắm mục tiêu. Việc xâm nhập vào máy chủ ảo hóa có thể mở ra cánh cửa cho việc di chuyển ngang (lateral movement) qua các máy ảo khác trong cùng một môi trường hoặc thậm chí truy cập vào các hệ thống và dữ liệu quan trọng khác trong mạng, gây ra thiệt hại nghiêm trọng cho toàn bộ cơ sở hạ tầng ảo hóa.
