Lỗ hổng zero-day VMware ESXi bị tin tặc khai thác trong các cuộc tấn công ransomware

[WhiteHat Team]

Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa phát đi cảnh báo về việc các nhóm ransomware đang tích cực khai thác một lỗ hổng zero-day nghiêm trọng trên VMware ESXi, cho phép vượt thoát khỏi môi trường máy ảo và chiếm quyền kiểm soát hypervisor. Lỗ hổng được định danh là CVE-2025-22225, đã được Broadcom vá từ tháng 3/2025 nhưng đến nay vẫn bị khai thác trong thực tế.
​

Theo CISA, CVE-2025-22225 là lỗ hổng cho phép ghi dữ liệu tuỳ ý vào nhân hệ điều hành ESXi, được xếp mức Important với điểm CVSS 8.2. Trong trường hợp đối tượng tấn công đã có quyền trong tiến trình VMX, lỗ hổng này có thể bị lợi dụng để ghi trái phép vào kernel, phá vỡ cơ chế sandbox của máy ảo và leo thang đặc quyền lên cấp hypervisor. Khi quyền kiểm soát ESXi bị chiếm đoạt, ransomware có thể được triển khai trên diện rộng, dẫn tới việc mã hoá toàn bộ máy ảo và dữ liệu doanh nghiệp.

Lỗ hổng này không tồn tại đơn lẻ mà được công bố cùng hai zero-day khác gồm CVE-2025-22224, một lỗi tràn heap trong driver VMCI với điểm CVSS 9.3 và CVE-2025-22226, một lỗ hổng rò rỉ bộ nhớ trong cơ chế HGFS. Ba lỗ hổng này đã bị khai thác trong thực tế ít nhất từ đầu năm 2025 và thường được chuỗi hóa để đạt được kịch bản vượt thoát máy ảo hoàn chỉnh trên các nền tảng ESXi, Workstation và Fusion.

CISA đã đưa CVE-2025-22225 vào danh mục Known Exploited Vulnerabilities từ ngày 4/3/2025, yêu cầu các cơ quan liên bang Mỹ phải hoàn tất vá lỗi trước ngày 25/3 theo chỉ thị BOD 22-01. Tuy nhiên, trong bản cập nhật đầu tháng 2/2026, CISA xác nhận lỗ hổng này đang được sử dụng trong các chiến dịch ransomware, dù chưa công bố cụ thể nhóm đứng sau.

Các nhà nghiên cứu cho biết kịch bản tấn công thường bắt đầu từ việc chiếm quyền quản trị máy ảo, sau đó vô hiệu hóa driver VMCI, nạp driver kernel không ký số và khai thác rò rỉ bộ nhớ từ VMX để vượt qua ASLR. Khi đã kiểm soát hypervisor, kẻ tấn công triển khai các backdoor tinh vi như VSOCKpuppet nhằm duy trì quyền truy cập lâu dài, đồng thời tránh bị phát hiện bởi các hệ thống giám sát mạng truyền thống.

Đáng chú ý, các hoạt động khai thác chuỗi lỗ hổng này từng được ghi nhận từ tháng 2/2024 trong những chiến dịch được cho là có liên hệ với các nhóm tin tặc Trung Quốc, tận dụng thiết bị SonicWall VPN bị xâm nhập để làm bàn đạp. Các chiến dịch này không chỉ phục vụ mã hóa dữ liệu mà còn chuẩn bị cho hoạt động đánh cắp thông tin quy mô lớn trước khi triển khai ransomware.

Trong khuyến cáo bảo mật VMSA-2025-0004, Broadco đã xác nhận việc khai thác đang diễn ra ngay tại thời điểm phát hành bản vá. Dữ liệu từ các hoạt động Internet-wide scanning cho thấy vẫn còn hơn 41.500 hệ thống ESXi công khai dịch vụ ra Internet và chưa được cập nhật, tạo ra bề mặt tấn công đáng kể cho các nhóm ransomware. Huntress cũng phát hiện một bộ công cụ tấn công nhắm tới 155 bản build ESXi khác nhau, với dấu vết PDB cho thấy quá trình phát triển kéo dài hơn một năm.
​

Xuất phát từ việc VMware ESXi đang là nền tảng ảo hóa xương sống trong nhiều hệ thống doanh nghiệp, các chuyên gia khuyến nghị tổ chức cần khẩn trương áp dụng đầy đủ các bản vá cho ESXi 7.0, 8.0 và các sản phẩm liên quan. Đồng thời, cần tăng cường giám sát EDR đối với các hành vi bất thường của tiến trình VMX, hạn chế quyền quản trị máy ảo, rà soát dấu hiệu driver kernel không hợp lệ và lưu lượng VSOCK đáng ngờ. Với các hệ thống không thể vá, cần triển khai biện pháp giảm thiểu theo hướng dẫn của nhà sản xuất hoặc xem xét loại bỏ khỏi môi trường vận hành.

​

Theo Cyber Security News​