CVE-2025-22224

VMware ESXi and Workstation

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-04

Официальное описание

VMware ESXi and Workstation contain a time-of-check time-of-use (TOCTOU) race condition vulnerability that leads to an out-of-bounds write. Successful exploitation enables an attacker with local administrative privileges on a virtual machine to execute code as the virtual machine's VMX process running on the host.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-22224 представляет собой критическую ошибку типа TOCTOU (Time-of-Check Time-of-Use), возникающую из-за состояния гонки (race condition) при обращении к памяти. Уязвимость локализована в компонентах виртуализации VMware ESXi и Workstation.

Злоумышленник, обладающий правами локального администратора в гостевой операционной системе, может манипулировать данными в промежутке между их проверкой и использованием гипервизором. Это приводит к выходу за пределы выделенного буфера памяти (Out-of-bounds Write). В результате атакующий может выполнить произвольный код в контексте процесса VMX на хостовой системе, что фактически означает компрометацию гипервизора изнутри виртуальной машины.

Как исправить

Единственным надежным способом устранения уязвимости является обновление гипервизора до версий, в которых данная ошибка исправлена.

Для VMware ESXi: Необходимо установить соответствующие патчи (ESXi_8.0U3b-23305546 или новее / ESXi_7.0U3p-23307199 или новее).

Проверка текущей версии:

vmware -v

Установка обновления через CLI (пример для ESXi 8.0):

esxcli software profile update -p ESXi-8.0U3b-23305546-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Для VMware Workstation: Необходимо обновить приложение до версии 17.5.1 или выше.

Для VMware Fusion (macOS): Необходимо обновить приложение до версии 13.5.1 или выше.

После обновления гипервизора рекомендуется обновить VMware Tools во всех критически важных виртуальных машинах.

Временные меры

Если немедленное обновление невозможно, следует применить следующие защитные меры для снижения риска эксплуатации:

  1. Ограничение привилегий: Минимизируйте количество пользователей с правами администратора (root/admin) внутри гостевых ОС, так как для эксплуатации уязвимости требуются высокие привилегии в виртуальной машине.

  2. Отключение неиспользуемых виртуальных устройств: Удалите из конфигурации виртуальных машин (VM settings) все ненужные контроллеры USB, звуковые карты и параллельные порты, чтобы уменьшить поверхность атаки на процесс VMX.

  3. Изоляция управления: Убедитесь, что сеть управления ESXi (Management Network) изолирована от общего трафика виртуальных машин.

  4. Мониторинг процессов: На хостах ESXi настройте логирование событий безопасности для отслеживания аномального поведения процесса VMX.

tail -f /var/log/vmkernel.log | grep -i "out-of-bounds"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей