CISA 警告:VMware CVE-2025-22225 已遭勒索軟體濫用,企業應立即修補
- Tara Hsiao / PM
- 2月12日
- 讀畢需時 5 分鐘
美國網路安全暨基礎設施安全局(CISA)近期更新「已知遭利用漏洞(KEV)」目錄,將 VMware 漏洞 CVE-2025-22225 列入清單,並確認該漏洞已遭勒索軟體集團實際利用。
該漏洞最早於 2025 年 3 月由 Broadcom 在安全公告 VMSA-2025-0004 中揭露,並與另外兩項高風險漏洞(CVE-2025-22224、CVE-2025-22226)一併修補。隨著被正式納入 KEV,代表此漏洞已從「已公開弱點」升級為「持續遭攻擊利用」的實戰風險。
由於漏洞涉及虛擬機逃逸與 Hypervisor 層級影響能力,對廣泛使用 VMware ESXi 作為核心基礎架構的企業而言,其風險層級遠高於一般應用程式漏洞。
漏洞說明
CVE-2025-22225 屬於 Arbitrary File Write漏洞,存在於 VMware ESXi 的 VMX 程序處理機制中。在特定條件下,若攻擊者已在虛擬機中取得管理員權限,便可透過 VMX 程序觸發核心層級的寫入行為,進而 沙箱逃逸(Sandbox Escape)、操控主機核心記憶體、影響 Hypervisor 控制層、甚至進一步部署後門或橫向移動。
這代表攻擊者不再受限於虛擬機隔離邊界,而是可以從 Guest OS 直接突破到 Host 層級,對整體虛擬化架構造成致命衝擊。
相關漏洞整體風險評估
此次公告並非單一漏洞,而是一組可被串連利用的漏洞鏈:
CVE-2025-22224
屬於 VMCI 中的 TOCTOU(Time-of-check Time-of-use),CVSS 評分 9.3(Critical)。此漏洞可能導致Out-of-bounds Write,讓具備虛擬機本機管理員權限的攻擊者,在特定條件下以主機 VMX 程序的身分執行程式碼。實際風險不僅限於單一虛擬機入侵,而是可能突破虛擬化隔離邊界,進而影響 Hypervisor 層級安全,對承載多台關鍵業務系統的 ESXi 主機構成重大威脅。
CVE-2025-22225
屬於 Arbitrary Write漏洞,CVSS 評分 8.2(High)。當攻擊者已在虛擬機內取得管理權限時,可透過 VMX 程序觸發核心層級寫入行為,導致VM Escape。成功利用後可能造成:主機核心記憶體遭修改、Hypervisor 控制層受影響、部署後門或建立持久化存取與作為勒索軟體橫向擴散節點。此漏洞已被實際利用並列入 KEV 目錄。
CVE-2025-22226
屬於 HGFS 中的 Out-of-bounds Read漏洞,CVSS 評分 7.1(High)。攻擊者可能藉此讀取 VMX 程序記憶體中的敏感資訊,造成資訊洩漏。雖然該漏洞本身不直接導致程式碼執行,但洩漏的資訊可能被用於繞過安全防護機制、協助後續漏洞利用與強化攻擊成功率。在多漏洞組合攻擊情境中,該弱點可成為攻擊鏈的一環,放大整體風險。
哪些環境特別容易成為目標
在實務環境中,以下配置或管理情境將大幅提高 CVE-2025-22225 被成功利用的機率:
ESXi 對外暴露管理介面
若 ESXi 管理介面(如 443、902)直接對外開放,將成為自動化掃描與漏洞利用的主要目標。攻擊者可能先透過弱密碼、暴力破解或邊界設備漏洞取得虛擬機權限,再進一步利用 VM Escape 漏洞突破至 ESXi 主機層(Hypervisor 層)。一旦管理介面暴露於外網,攻擊門檻將大幅降低,整體風險也會快速升高。
內網缺乏分段
在未進行網路分段的環境中,虛擬機與管理介面往往位於同一個信任區域。
若攻擊者成功入侵任一虛擬機,便可能無阻礙地橫向移動至其他 VM,甚至直接接觸 ESXi Host 管理介面。Flat Network 架構會讓單點入侵迅速演變為整體基礎架構風險。
虛擬機內已存在弱密碼或 VPN 被入侵
多數 Hypervisor 層攻擊並非直接從漏洞開始,而是從憑證竊取或遠端存取設備入侵展開。
若 VPN(例如過去曾頻繁成為攻擊入口的設備)遭攻破,攻擊者即可進入內網,取得虛擬機管理權限,進一步觸發漏洞利用條件。也就是說,CVE-2025-22225 往往是攻擊後半段的升級利用工具,而非初始入侵點。
未及時套用 Update 3s / 2d / 3d
漏洞已被官方修補,但若企業延遲更新,等同持續暴露於已知且已武器化的攻擊手法之下。尤其當漏洞已被納入 KEV 目錄後,代表攻擊程式碼可能已被整合至滲透框架或勒索工具包中,攻擊門檻將進一步降低。延遲修補時間越長,被掃描與嘗試利用的機率越高。
未監控 VMCI、VMX 程序異常行為
由於漏洞影響 ESXi 主機層,單純監控作業系統往往不足。若未監控主機層異常活動(如異常模組、異常通訊或系統變更),攻擊者即使成功逃逸,也可能長期潛伏而不被發現。攻擊者即便成功逃逸至 Host 層,也可能在未被發現的情況下長期潛伏。
特別注意:未必立即造成服務中斷
即使虛擬機未遭加密或未出現明顯異常,也不代表環境安全。攻擊者可能已突破至 ESXi 主機層,植入後門並建立隱蔽存取機制,先潛伏觀察,再伺機發動勒索或資料竊取。
由於EDR 多部署於作業系統層,未必能偵測主機層異常,因此企業不應僅以是否發生加密事件作為判斷依據。除了修補漏洞外,也應強化 Hypervisor 原生安全機制(如安全開機與簽章驗證)、集中監控主機層日誌,並導入支援虛擬化環境的 NDR/XDR 方案,同時定期檢查 ESXi 設定與系統完整性。
修補與因應重點
由於 CVE-2025-22225 已確認遭勒索軟體集團實際利用,且被納入 CISA KEV 目錄,此漏洞已屬「持續被攻擊」狀態,而非理論風險。在虛擬化環境中,一旦 ESXi 主機遭突破,可能影響其上所有虛擬機,因此修補優先順序應高於一般應用程式漏洞。
立即更新(強烈建議)
版本 | 建議更新至 |
ESXi 7.0 | 7.0 Update 3s 或以上 |
ESXi 8.0 | 8.0 Update 2d / 8.0 Update 3d 或以上 |
若為 vSphere、Workstation、Fusion、Cloud Foundation 等產品,亦應同步檢查對應修補版本。
臨時緩解措施(無法立即升級時使用)
限制管理介面僅允許內網存取
強制多因素驗證(MFA)
強化網路分段(特別是管理平面)
監控 VMCI 驅動與未簽署模組載入
檢查是否存在 VSOCK 通道異常活動
重新盤點 VPN 存取紀錄(特別是 SonicWall)
特別注意:這些措施無法根治漏洞,只能降低被利用風險。
當 VM Escape 成為現實威脅
CVE-2025-22225 不只是高風險漏洞,而是對虛擬化信任模型的直接挑戰。當攻擊者可以從 Guest 逃逸至 Host,整個資料中心的安全邊界將被重新定義。在勒索軟體與自動化攻擊工具鏈盛行的環境下,延遲修補將大幅提高組織曝險機率。建議將此漏洞視為優先修補等級最高(Priority 1)的安全事件處理。
留言