【安全资讯】VMware ESXi零日漏洞在披露前一年或已被利用

概要：

网络安全公司Huntress近期披露了一起复杂的网络攻击事件，攻击者利用一套针对VMware ESXi的漏洞利用工具包，成功实施了虚拟机逃逸攻击。令人震惊的是，证据表明这套工具包可能在相关漏洞作为零日漏洞公开披露前一年多就已开发完成，凸显了高级持续性威胁（APT）活动的隐蔽性和长期潜伏能力。

主要内容：

根据Huntress的报告，攻击始于2025年12月，初始访问点疑似是一台被攻陷的SonicWall VPN设备。攻击者随后利用一个已泄露的域管理员账户，通过RDP横向移动到域控制器，并最终部署了一套精密的VMware ESXi漏洞利用链。该工具包旨在利用三个在2025年3月才被Broadcom作为零日漏洞披露的安全漏洞，实现从客户虚拟机逃逸至底层ESXi管理程序。

核心技术原因在于攻击者将三个漏洞串联利用。CVE-2025-22226（HGFS越界读取）用于泄露VMX进程内存信息；CVE-2025-22224（VMCI中的TOCTOU竞争条件漏洞）导致越界写入，实现以VMX进程权限执行代码；CVE-2025-22225（ESXi任意写入漏洞）则最终完成从VMX沙箱逃逸至内核。这种组合攻击需要管理员权限，但一旦成功，危害极大。

工具包包含多个组件，分工明确：MAESTRO主程序协调整个逃逸过程；MyDriver.sys是执行逃逸的未签名内核驱动；VSOCKpuppet是部署在ESXi主机上的ELF后门，通过VSOCK提供命令执行和文件传输功能；GetShell Plugin则是Windows客户端，用于连接后门。研究人员在二进制文件的PDB路径中发现了“2024_02_19”和“2023_11_02”的文件夹名，表明开发活动远早于漏洞公开。

尽管工具包构建路径中包含简体中文，但也存在英文README文件，Huntress评估其可能由中文地区的资源充足开发者创建，并有意向其他威胁行为者出售或共享。该事件影响了依赖VMware虚拟化平台的企业，特别是IT和云服务行业，可能导致 hypervisor 被完全控制，所有托管虚拟机面临风险。建议组织及时应用安全更新并使用提供的检测规则。