Thoát khỏi máy ảo, chiếm luôn máy chủ: Lỗ hổng zero-day VMware ESXi bị khai thác

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.489 bài viết
Thoát khỏi máy ảo, chiếm luôn máy chủ: Lỗ hổng zero-day VMware ESXi bị khai thác
WhiteHat Team
Một chiến dịch tấn công mạng nghiêm trọng vừa được phát hiện cho thấy kịch bản tệ nhất trong môi trường ảo hóa đã xảy ra: kẻ tấn công có thể thoát khỏi máy ảo và chiếm quyền điều khiển toàn bộ máy chủ VMware ESXi - nền tảng quan trọng vận hành tất cả máy ảo trong doanh nghiệp.
1768269202183.png

Theo hãng an ninh mạng Huntress, các đối tượng có liên quan đến Trung Quốc ban đầu đã xâm nhập thông qua một thiết bị VPN SonicWall bị chiếm quyền. Từ điểm vào này, chúng triển khai một bộ công cụ tấn công chuyên dụng để khai thác ba lỗ hổng zero-day nghiêm trọng trong VMware ESXi gồm CVE-2025-22224, CVE-2025-22225 và CVE-2025-22226. Các lỗ hổng này được công bố vào tháng 3/2025 nhưng đã bị khai thác từ trước đó.

Chuyên gia WhiteHat nhận định, chuỗi tấn công này cho phép kẻ xấu phá vỡ cơ chế cách ly của máy ảo (VM escape), từ đó giành quyền kiểm soát hypervisor - một “hệ điều hành nền” quản lý toàn bộ máy ảo. Khi hypervisor bị chiếm quyền, toàn bộ VM, dữ liệu và dịch vụ chạy phía trên đều có nguy cơ bị kiểm soát.
1768269234764.png

Luồng khai thác VM Escape

Về kỹ thuật, kẻ tấn công sử dụng một toolkit nhiều thành phần. Trung tâm của bộ công cụ là MAESTRO (tệp exploit.exe), đóng vai trò điều phối toàn bộ quá trình khai thác. Công cụ này tải và kích hoạt MyDriver.sys, một driver chạy ở mức nhân hệ điều hành (kernel) nhưng không được ký số, nhằm khai thác lỗ hổng sâu bên trong ESXi.

Sau khi thoát khỏi máy ảo thành công, kẻ tấn công cài đặt VSOCKpuppet, backdoor cho phép điều khiển ESXi từ xa thông qua kênh VSOCK là cơ chế liên lạc trực tiếp giữa máy ảo và hypervisor, không đi qua mạng thông thường. Điều này khiến việc phát hiện trở nên khó khăn. Ngoài ra, chúng còn sử dụng GetShell Plugin, công cụ được đưa vào máy ảo Windows để gửi lệnh, tải lên hoặc lấy dữ liệu trực tiếp từ ESXi đã bị kiểm soát.
1768269258344.png

Kẻ tấn công sử dụng giao thức VSOCK để truyền lệnh giữa công cụ client.exe trong máy ảo và backdoor VSOCKpuppet trên ESXi.

Phân tích cho thấy bộ công cụ này đã được phát triển từ năm 2023 - 2024, sớm hơn so với thời điểm VMware công bố các lỗ hổng, có nghĩa là các lỗ hổng đã bị vũ khí hóa từ trước với sự đầu tư và trình độ kỹ thuật cao.

Dù chưa có mã khai thác POC công khai, việc CISA xếp các lỗ hổng này vào danh sách KEV cho thấy chúng đã bị khai thác, đặt ra rủi ro lớn cho doanh nghiệp và hạ tầng cloud, bởi khi hypervisor bị xâm phạm, mọi máy ảo phía trên đều mất an toàn.
Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng trong Linux Boot cho phép cài mã độc trước khi hệ điều hành khởi động
  • Lỗ hổng trong hệ điều hành macOS cho phép các ứng dụng thoát khỏi môi trường Sandbox
  • CVE-2023-35618: Lỗ hổng nghiêm trọng thoát được sandbox của trình duyệt Edge
  • Google phát hành bản vá cho các lỗ hổng thoát hộp cát trên Chrome
  • Gỡ bỏ No-IP giúp “giải thoát” 4,7 triệu máy tính
    • Thẻ
    an ninh ảo hóa lỗ hổng vmware esxi tấn công hypervisor vm escape vmware esxi zero-day
    Bên trên