文章总结： CISA证实VMwareESXi沙箱逃逸漏洞CVE-2025-22225遭勒索软件利用。攻击者利用MAESTRO工具包结合多个零日漏洞实现虚拟机逃逸并植入后门。证据显示其早在漏洞公开前已针对广泛ESXi版本进行攻击。建议立即修复漏洞并加强内网监控。 综合评分： 84 文章分类： 威胁情报,漏洞分析,漏洞预警,恶意软件

VMware ESXi 中的 CVE-2025-22225 漏洞现已被用于勒索软件攻击

暗镜

2026年2月6日 13:23 北京

美国网络安全和基础设施安全局 (CISA) 证实，勒索软件团伙正在利用 VMware ESXi 沙箱逃逸漏洞CVE-2025-22225。

该漏洞是 VMware ESXi 中的一个任意写入问题。拥有 VMX 进程特权的攻击者可以触发任意内核写入，从而导致系统逃逸沙箱。

当时，这家虚拟化巨头证实，他们掌握的信息表明，该漏洞已被用于实际攻击。

该安全公告称：“拥有 VMX 进程特权的恶意行为者可能会触发任意内核写入，从而导致沙箱逃逸。”

VMware 于 2025 年 3 月发布的安全公告 VMSA-2025-0004修复了三个已被积极利用的零日漏洞，这些漏洞可导致 ESXi 虚拟机逃逸和代码执行：

• CVE-2025-22226  (CVSS 7.1)：HGFS 文件系统中的越界读取漏洞，允许 VMX 进程内存泄漏。
• CVE-2025-22224 (CVSS 9.3)：VMCI 中的一个 TOCTOU 漏洞，会导致越界写入，从而允许以 VMX 进程身份执行代码。
• CVE-2025-22225  (CVSS 8.2)：ESXi 中的一个任意写入漏洞，允许攻击者逃逸 VMX 沙箱并访问内核。

今年 1 月，Huntress 的研究人员报告称，有讲中文的攻击者利用被黑客入侵的 SonicWall VPN 来投放针对 VMware ESXi 的工具包。

该攻击链包含一个复杂的虚拟机逃逸机制，并且似乎在相关 VMware 漏洞公开披露一年多之前就已经开发完成。对 2025 年 12 月观察到的攻击进行分析表明，该组织很早就知道三个后来在 2025 年 3 月披露的 ESXi 零日漏洞，这表明他们长期以来一直在秘密利用这些未知漏洞。

2025 年 12 月，Huntress 研究人员检测到一次入侵，导致 VMware ESXi 漏洞利用工具包的部署，最初的访问归因于被入侵的 SonicWall VPN。

简体中文字符串和构建路径等证据表明，该工具包很可能是在 VMware 公开披露其缺陷一年多之前作为零日漏洞开发的，这表明攻击者拥有雄厚的资源，并且是讲中文的。

攻击者利用域管理员凭据进行横向移动，执行侦察任务，修改防火墙规则以阻止外部访问，同时保留内部流量，并预先准备数据以进行数据窃取。该工具包针对多达 155 个 ESXi 版本，并通过禁用 VMCI 驱动程序和未签名内核驱动程序实现虚拟机逃逸，这可能为勒索软件的攻击铺平道路。攻击最终在造成影响之前被阻止。

攻击者依赖名为 MAESTRO 的编排器来管理完整的 VMware ESXi 虚拟机逃逸。它会禁用 VMCI 驱动程序，通过 BYOD 技术加载未签名的漏洞利用驱动程序，并协调漏洞利用过程。该驱动程序会泄漏 VMX 内存以绕过 ASLR，利用 HGFS 和 VMCI 的漏洞，将 shellcode 写入 VMX 进程，并逃逸到 ESXi 内核。然后，它会部署一个隐蔽的基于 VSOCK 的后门程序（VSOCKpuppet），从而能够从客户虚拟机持久远程控制虚拟机管理程序，同时绕过传统的网络监控，并恢复驱动程序以降低被检测到的风险。

Huntress 的研究人员发现证据表明，该漏洞利用链可能至少从 2024 年 2 月起就已被使用。

Huntress发布的报告指出：“这些漏洞利用二进制文件包含PDB路径，可以深入了解开发环境。”

CISA 已更新KEV 目录中的 CVE-2025-22225 条目，确认该漏洞正在被勒索软件攻击中利用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 《VMware ESXi 中的 CVE-2025-22225 漏洞现已被用于勒索软件攻击》