文章总结： CISA证实VMwareESXi漏洞CVE-2025-22225遭勒索软件在野利用。Huntress发现汉语区攻击者利用SonicWallVPN投递工具包，通过加载未签名驱动绕过ASLR实现沙箱逃逸，并部署VSOCKpuppet后门。攻击者提前掌握零日漏洞，建议立即修复ESXi并排查入侵迹象。 综合评分： 84 文章分类： 漏洞预警,威胁情报,安全大事件,漏洞分析,应急响应

高危漏洞！VMware ESXi 漏洞遭勒索软件在野利用

HackerNews HackerNews

安全威胁纵横

2026年2月5日 18:15 湖北

高危漏洞

紧急修复指南

RCE Patch

美国网络安全与基础设施安全局（CISA）证实，勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。

推测e

1

漏洞详情

该漏洞是 VMware ESXi 中存在的任意写入问题，拥有 VMX 进程权限的攻击者可触发内核任意写入操作，进而实现沙箱逃逸。彼时，这家虚拟化巨头证实，已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中也指出：“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作，进而实现沙箱逃逸。”

VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中，修复了三个已遭在野积极利用的零日漏洞，这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行，具体包括：

· CVE-2025-22226（CVSS 7.1）：HGFS 文件系统存在越界读取漏洞，可导致 VMX 进程内存泄露。

· CVE-2025-22224（CVSS 9.3）：VMCI 接口存在时间检查与使用不一致（TOCTOU）漏洞，可引发越界写入，攻击者可借此以 VMX 进程权限执行代码。

· CVE-2025-22225（CVSS 8.2）：ESXi 存在任意写入漏洞，可实现从 VMX 沙箱逃逸至内核层。

今年 1 月，Huntress 研究人员通报称，发现汉语区攻击者滥用遭入侵的 SonicWall VPN，投递针对 VMware ESXi 的攻击工具包。

该攻击链包含一套成熟的虚拟机逃逸方案，且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示，该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞，可见其对未知漏洞存在长期隐秘利用行为。

2025 年 12 月，Huntress 研究人员检测到一起入侵事件，攻击者最终部署了 VMware ESXi 漏洞利用工具包，其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据，表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成，可见幕后是一支资源充足的汉语区攻击团伙。

攻击者利用域管理员凭证开展横向渗透，实施侦察活动，修改防火墙规则以阻断外部访问、同时保留内网移动权限，并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击，通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸，或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。

该威胁团伙依靠一款名为 MAESTRO 的协调工具，管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动，通过自带驱动（BYOD）技术加载未签名漏洞利用驱动，并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化（ASLR）防护，滥用 HGFS 与 VMCI 接口漏洞，向 VMX 进程写入壳代码，最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet，可从客户机虚拟机对虚拟机管理程序实现持久化远程控制，同时规避传统网络监控，并恢复相关驱动以降低被检测概率。

Huntress 研究人员发现证据表明，该攻击链至少自 2024 年 2 月起就已被使用。报告指出：“漏洞利用二进制文件中包含程序数据库（PDB）路径，可据此窥探其开发环境。”

CISA 已更新已知被利用漏洞（KEV）目录中 CVE-2025-22225 的相关条目，确认该漏洞正被用于勒索软件攻击行动。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://securityaffairs.com/187637/security/cve-2025-22225-in-vmware-esxi-now-used-in-active-ransomware-attacks.html

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《高危漏洞！VMware ESXi 漏洞遭勒索软件在野利用》