CVE-2025-22225

VMware ESXi

ВЕРОЯТНОСТЬ 7.9%
Дата обнаружения

2025-03-04

Официальное описание

VMware ESXi contains an arbitrary write vulnerability. Successful exploitation allows an attacker with privileges within the VMX process to trigger an arbitrary kernel write leading to an escape of the sandbox.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-22225 представляет собой критическую уязвимость типа «произвольная запись» (arbitrary write) в гипервизоре VMware ESXi. Проблема локализована в процессе VMX, который отвечает за выполнение инструкций виртуальной машины.

Злоумышленник, уже имеющий привилегии внутри процесса VMX (например, через компрометацию гостевой ОС), может использовать этот недостаток для записи данных в память ядра гипервизора. Это приводит к полному выходу из «песочницы» (sandbox escape) и позволяет атакующему выполнять произвольный код на уровне хоста ESXi, получая контроль над всеми остальными виртуальными машинами и инфраструктурой.

Как исправить

Основным способом устранения уязвимости является обновление VMware ESXi до исправленных версий. VMware выпустила соответствующие патчи для поддерживаемых веток продукта.

  1. Проверьте текущую версию сборки (Build Number) вашего хоста:
vmware -v
  1. Установите исправление в зависимости от вашей версии:
  2. Для ESXi 8.0: обновитесь до версии ESXi 8.0 U3t (или выше).

  3. Для ESXi 7.0: обновитесь до версии ESXi 7.0 U3q (или выше).

  4. Процесс обновления через CLI (требуется доступ к интернету или загруженный оффлайн-бандл):

esxcli software profile update -p <profile_name> -d <depot_path_or_url>
  1. После установки патча обязательна перезагрузка хоста для применения изменений в ядре:
reboot

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски эксплуатации, ограничив возможности атакующего внутри гостевых систем.

  1. Удалите неиспользуемые виртуальные устройства из конфигурации ВМ (особенно USB-контроллеры, звуковые карты и параллельные порты), так как они часто являются векторами для атаки на VMX.

  2. Ограничьте права администраторов внутри критически важных виртуальных машин, чтобы предотвратить первичную компрометацию процесса VMX.

  3. Изолируйте управление ESXi (Management Network) в отдельный VLAN с доступом только для доверенных администраторов.

  4. Включите и настройте Secure Boot для хостов ESXi и виртуальных машин:

esxcli system settings encryption set --require-secure-boot=TRUE
  1. Используйте мониторинг логов на предмет аномального поведения процесса VMX:
tail -f /var/log/vmkernel.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей