中國駭客濫用VMware ESXi漏洞 可能揭露前一年前就有工具

資安公司Huntress偵測到中國駭客濫用VMware ESXi 3個漏洞，攻擊活動可能在漏洞揭露前就悄悄展開了。

Huntress在2025年12月偵測到一樁和VMware虛擬化平臺ESXi有關的攻擊行動。在該行動最後一個階段中，攻擊者濫用了VMware去年3月公告並修補的3個ESXi漏洞，分別是CVE-2025-22224（CVSS風險值9.3）、CVE-2025-22225（CVSS風險值8.2）和CVE-2025-22226（CVSS風險值7.1）。成功濫用這些漏洞可讓取得管理員權限的攻擊者從VMX行程洩露記憶體資訊、或是惡意程式從VM沙箱逃逸，而在VMX行程執行。美國資安主管機關CISA則將這些漏洞列為已知遭利用漏洞（KEV）名冊。

Huntress分析12月的入侵指標，追查出攻擊者複雜的活動路徑。他先從一個被駭的SonicWall VPN駭入受害者網路，並取得內部網路權限。攻擊者利用竊得的網域管理員憑證在內部網路橫向移動，包括濫用VMware系統。

分析其濫用VMware的工具套件，當中二進位檔包含一個PDB路徑，發現一個具有簡體中文字串以及特殊訊息的文件夾（「全版本逃逸–交付」及ESXI_8.0u3），當中的時間為2024_02_19，顯示這套攻擊工具可能2024年初就已製作完成，並鎖定ESXi 8.0 Update 3的環境，且開發者可能來自簡體中文使用區域。研究人員相信，這些證據指向一個資源豐沛的開發組織。

如果成功濫用3個ESXi漏洞，使用VM Escape手法的攻擊者可從guest VM逃逸，直接控制ESXi hypervisor，進一步影響該主機上所有VM。

研究人員建議管理員應確保VPN等邊界裝置的安全防護、且由於VM隔離無法保證100%安全（因Hypervisor有漏洞），因此必需確保ESXi在最新版本。該攻擊工具套件支援ESXi 5.1到8.0。如果用戶使用的是已過支援期的版本，就可能受害。