Агентство по кибербезопасности и защите инфраструктуры (CISA) официально добавило критическую уязвимость в гипервизоре VMware ESXi в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Идентифицированная как CVE-2025-22225, эта уязвимость нулевого дня (zero-day) позволяет злоумышленникам вырваться из изолированной среды (sandbox escape) и уже активно используется в атаках программами-вымогателями (ransomware).
Техническая суть угрозы
Уязвимость классифицируется как произвольная запись в память (arbitrary write, CWE-123). Она затрагивает ключевой компонент гипервизора ESXi - процесс VMX, который управляет средой исполнения виртуальной машины. Для успешной эксплуатации злоумышленник должен уже обладать привилегиями внутри этого процесса. Воспользовавшись уязвимостью, он может инициировать произвольную запись в ядро системы. Это позволяет преодолеть изоляцию виртуальной машины, то есть «сбежать» из песочницы, и получить несанкционированный доступ к базовой хост-системе.
Данный переход из ограниченной среды на уровень централизованного управления представляет собой критическую опасность. В результате злоумышленник потенциально получает контроль над всеми виртуальными машинами, работающими на данном гипервизоре. Серверы ESXi являются высокоценными целями для групп, распространяющих программы-вымогатели, поскольку компрометация всего одного гипервизора позволяет зашифровать множество серверов и критически важных рабочих нагрузок, тем самым максимизируя масштаб сбоев.
Подтверждённая активная эксплуатация
Включение CVE-2025-22225 в каталог KEV агентством CISA является прямым подтверждением того, что угрозы активно используют эту уязвимость в реальных атаках. Хотя первоначальное уведомление не содержит атрибуции конкретным группам, сложность механизма побега из песочницы указывает на участие опытных и хорошо оснащённых операторов.
Затронутые версии и срочные меры
Уязвимость затрагивает несколько версий VMware ESXi, а также продукты VMware Cloud Foundation и VMware Telco Cloud Platform. В частности, уязвимыми являются версии ESXi 8.0 до сборок ESXi80U3d-24585383 и ESXi80U2d-24585300, а также версии 7.0 до сборки ESXi70U3s-24585291.
В ответ на активную эксплуатацию CISA издало обязательное оперативное предписание (binding operational directive). Все федеральные гражданские исполнительные органы (FCEB) обязаны выявить и установить патчи для уязвимых экземпляров VMware ESXi не позднее 25 марта 2025 года. Частным организациям настоятельно рекомендуется расценивать эту задачу как приоритетную. Опыт показывает, что группы, распространяющие программы-вымогатели, часто ускоряют атаки сразу после публичного раскрытия информации об уязвимости.
Системным администраторам следует немедленно применить исправления, предоставленные вендором. Если патч временно недоступен, необходимо рассмотреть возможность отключения уязвимого продукта в соответствии с рекомендациями по снижению рисков. Своевременное обновление является ключевой мерой для предотвращения инцидентов, поскольку данная уязвимость уже является инструментом в арсенале киберпреступников.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-22225
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
