美國網路安全暨基礎設施安全局(CISA)於2025年3月首度將VMware ESXi高風險資安漏洞CVE-2025-22225納入「已知遭利用漏洞」(Known Exploited Vulnerabilities,KEV)目錄。今年2月上旬,CISA進一步更新KEV資訊,正式標註該漏洞已遭勒索軟體攻擊活動利用。
CVE-2025-22225的CVSS v3.1風險分數為8.2分,屬於高風險(High)等級漏洞。Broadcom在2025年3月發布的安全公告指出,若攻擊者在VMX處理程序中具備高權限,可能觸發核心層級的任意寫入行為,進而從虛擬機器的沙箱逃逸出去,影響宿主系統安全。受影響產品包括VMware ESXi、vSphere、Workstation、Fusion、Cloud Foundation,以及Telco Cloud Platform等虛擬化平臺。
Broadcom當時也同步修補另外兩項漏洞CVE-2025-22224與CVE-2025-22226。其中,CVE-2025-22224屬於TOCTOU(Time-of-Check to Time-of-Use)競態條件問題,CVE-2025-22226則涉及資訊洩漏風險。原廠指出,具備管理員或root權限的攻擊者,可能透過串聯多項漏洞,突破虛擬化環境的沙箱隔離機制。
此外,資安業者Huntress的調查顯示,這組VMware ESXi漏洞可能早在2024年2月即已遭到實際濫用,顯示相關攻擊行動發生時間早於漏洞正式揭露與修補。
在CISA更新的KEV條目中,CVE-2025-22225被標註為「已知被勒索軟體攻擊活動利用」,並列出具體的修補與緩解要求。CISA指出,受影響單位應依照原廠指引套用修補或緩解措施,並遵循具約束力的營運指令BOD 22-01;若無法有效降低風險,則應考慮停止使用相關產品。
由於VMware虛擬化產品在企業環境中部署普遍,且常承載關鍵業務系統與敏感資料,長期成為勒索軟體集團與國家級威脅行為者鎖定的攻擊目標。CISA過去亦多次針對VMware漏洞發布修補命令,例如在2025年10月底,要求政府機構修補VMware Aria Operations與VMware Tools的一項高風險漏洞CVE-2025-41244,該漏洞被指出自2024年10月起即遭零時差方式濫用。
今年1月下旬,CISA也將VMware vCenter Server的一項重大漏洞CVE-2024-37079列為已遭實際利用狀態,其CVSS v3.1風險分數高達9.8分,並要求聯邦機構在指定期限內完成修補,顯示VMware相關漏洞仍是高強度攻擊行動的核心標的之一。
此外,資安業者GreyNoise近日揭露,CISA在2025年間曾將多達59項漏洞標註為已被勒索軟體利用,但未逐一對外發布公告。該分析也引發外界關注,KEV目錄所揭露的威脅態勢,可能仍低於實際攻擊活動的規模,企業與政府單位恐需更主動盤點既有環境中的潛在風險。
熱門新聞
2026-03-06
2026-03-02
2026-03-02
2026-03-04
2026-03-05
2026-03-02
2026-03-02