CISA 警告 VMware 漏洞正遭积极利用，敦促企业立即修补

2025年3月4日，警告积极美国网络安全和基础设施安全局（CISA）发布紧急警报，漏洞利用立即将三个关键VMware漏洞添加到其已知被利用漏洞（KEV）目录中 ，正遭原因是敦促有证据表明这些漏洞正在被积极利用。

这些漏洞编号为CVE-2025-22224、企业CVE-2025-22225和CVE-2025-22226，修补攻击者可以利用它们在有权限访问虚拟机（VM）的警告积极情况下提升权限 、在虚拟机管理程序（hypervisor）上执行代码 ，漏洞利用立即并窃取敏感的正遭内存数据。

这些漏洞由微软威胁情报中心（MSTIC）发现，服务器租用敦促影响VMware ESXi、企业Workstation、修补Fusion、警告积极Cloud Foundation和Telco Cloud Platform等多个产品。漏洞利用立即

CISA的正遭公告与Broadcom发布补丁的时间一致，强调联邦机构和私营企业应根据《绑定操作指令》（BOD）优先修复这些漏洞 。

漏洞详情与分析

(1) CVE-2025-22224：TOCTOU漏洞可能导致虚拟机管理程序被控制

CVE-2025-22224是三者中最严重的漏洞，CVSS评分为9.3。高防服务器它是一个存在于VMware ESXi和Workstation中的“检查时间与使用时间不一致”（TOCTOU）竞争条件漏洞
。

拥有虚拟机管理权限的攻击者可以利用该堆溢出漏洞在VMX进程（负责管理虚拟机操作的管理程序组件）中执行任意代码。成功利用该漏洞后，攻击者可以控制主机系统，并在虚拟化基础设施中进行横向移动。

(2) CVE-2025-22225 ：任意写入漏洞可逃逸沙箱

CVE-2025-22225（CVSS评分8.2）允许经过身份验证的攻击者通过VMX进程向ESXi主机写入任意数据，从而实现沙箱逃逸。源码库通过操纵内核内存 ，攻击者可以获得提升的权限，以部署恶意软件或破坏服务 。

该漏洞在多租户云环境中尤为危险，因为单个被入侵的虚拟机可能会危及整个集群。

(3) CVE-2025-22226：虚拟机管理程序内存泄露

第三个漏洞CVE-2025-22226（CVSS评分7.1）源于VMware的主机客户文件系统（HGFS）中的越界读取问题。

攻击者可以利用此漏洞从VMX进程中提取敏感数据 ，包括存储在虚拟机管理程序内存中的免费模板加密密钥或凭证 。虽然其严重性低于前两个漏洞，但它可以为策划进一步攻击提供关键的情报信息
。

修复建议与后续措施

Broadcom已为所有受影响的产品发布了修复补丁，包括
：

ESXi 8.0/7.0 ：补丁版本为ESXi80U3d-24585383和ESXi70U3s-24585291Workstation 17.x：版本17.6.3修复了CVE-2025-22224和CVE-2025-22226Fusion 13.x：更新版本13.6.3修复了CVE-2025-22226

使用VMware Cloud Foundation或Telco Cloud Platform的组织必须应用异步补丁或升级到已修复的ESXi版本。

CISA建议企业采取以下措施：

立即修补：优先为ESXi、Workstation和Fusion应用更新。监控虚拟机活动：检测异常的模板下载权限提升或内存访问模式 。利用BOD 22-01框架：根据CISA的KEV时间表调整修复工作流程。

由于漏洞已经被利用 ，延迟修补可能导致与2024年vCenter Server事件类似的大规模数据泄露。虚拟化技术是支撑关键基础设施的重要基石 ，主动防御对于阻止寻求持久访问的国家级攻击者至关重要。

亿华云