文章总结： 网络安全公司发现黑客利用MAESTRO工具包串联多个0Day漏洞攻击VMwareESXi，实现虚拟机逃逸。攻击者通过VPN入口横向移动，部署VSOCKpuppet后门。分析显示攻击具有中文背景特征。建议企业及时修补漏洞，监控VSOCK进程及未签名驱动，加强VPN防护以应对虚拟化环境威胁。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,威胁情报,应急响应

【安全圈】黑客利用0Day漏洞工具包在野攻击VMware ESXi实例

安全圈

2026年1月8日 19:00 江苏

关键词

漏洞

网络安全公司Huntress发现黑客正在利用一个0Day漏洞工具包攻击VMware ESXi实例，该工具包通过串联多个漏洞实现虚拟机逃逸。攻击者最初通过被入侵的SonicWall VPN获得初始访问权限。

攻击过程分析

威胁行为者首先通过SonicWall VPN获得立足点，随后利用被入侵的域管理员账户进行横向移动，先后攻陷备份域控制器和主域控制器。在主域控制器上，攻击者部署了Advanced Port Scanner和ShareFinder等侦察工具，使用WinRAR暂存数据，并修改Windows防火墙规则以阻止外部出站流量，同时允许内部横向移动。

在部署漏洞工具包约20分钟后，攻击者开始执行ESXi漏洞利用程序，Huntress在勒索软件部署前成功阻止了攻击。

MAESTRO漏洞工具包技术细节

Huntress将该工具包命名为MAESTRO，其工作原理包括：

• 使用devcon.exe禁用VMware VMCI驱动程序
• 通过KDU加载未签名驱动程序以绕过驱动程序签名强制（DSE）
• 执行核心逃逸操作

工具包截图（来源：Huntress）

MyDriver.sys驱动程序通过VMware Guest SDK查询ESXi版本，从支持ESXi 5.1至8.0共155个构建版本的数据表中选择偏移量，通过HGFS（CVE-2025-22226）泄露VMX基址，通过VMCI（CVE-2025-22224）破坏内存，并部署用于沙箱逃逸的shellcode（CVE-2025-22225）。

| CVE编号 | CVSS评分 | 漏洞描述 | | — | — | — | | CVE-2025-22226 | 7.1 | HGFS越界读取导致VMX内存泄露 | | CVE-2025-22224 | 9.3 | 任意写入漏洞导致从VMX沙箱逃逸至内核 | | CVE-2025-22225 | 8.2 | 任意写入漏洞导致从VMX沙箱逃逸至内核 |

Shellcode会部署名为VSOCKpuppet的后门程序，该后门劫持ESXi的inetd服务（端口21）以获取root权限，并使用VSOCK进行隐蔽的虚拟机-宿主机通信，这种通信方式对网络监控工具不可见。

攻击溯源与防御建议

PDB路径显示该工具包在简体中文环境中开发，如”全版本逃逸–交付”的路径名称，时间戳为2024年2月，比Broadcom在2025年3月4日发布的VMSA-2025-0004安全公告早了一年多。2023年11月的client.exe PDB表明该工具采用模块化设计，被篡改的VMware驱动程序引用了”XLab”。Huntress高度确信攻击者来自中文环境，基于资源文件和0Day漏洞获取能力。

防御建议：

• 及时为ESXi打补丁，已停止支持的版本无法获得修复
• 使用”lsof -a”命令监控ESXi主机的VSOCK进程
• 警惕KDU等BYOD加载器
• 加强VPN安全防护
• 防火墙规则变更和未签名驱动程序都是系统被入侵的信号
• VSOCK后门可绕过入侵检测系统（IDS）

此次事件凸显了虚拟机监控程序面临的持续威胁，攻击者通过驱动程序恢复和配置清理保持隐蔽性。随着针对ESXi的勒索软件攻击增加，企业必须加强虚拟化环境的安全防护。

END

阅读推荐

【安全圈】美军进攻委内瑞拉前当地电信公司BGP路由发生异常 流量被引导至不安全的路线

【安全圈】两款Chrome扩展窃取90万用户与ChatGPT的对话记录

【安全圈】0Day漏洞Chronomaly可获取Linux内核root权限

【安全圈】D-Link 多款老旧 DSL 网关路由器被曝命令注入 0day，已遭野外利用

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客利用0Day漏洞工具包在野攻击VMware ESXi实例》