CISA: уязвимость в VMware ESXi теперь эксплуатируется в атаках с использованием «ransomware»

Vmware Esxi Cisa уязвимость кибербезопасность Ransomware

CISA подтвердило, что группы вымогателей начали использовать уязвимость VMware ESXi, позволяющую выйти из песочницы, которая ранее применялась в атаках нулевого дня. Уязвимость CVE-2025-22225, исправленная Broadcom в марте 2025 года, теперь отмечена как активно используемая.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) в среду подтвердило, что группы, занимающиеся вымогательством, начали использовать уязвимость VMware ESXi высокого уровня опасности, позволяющую выйти из песочницы, которая ранее применялась в атаках с использованием уязвимостей нулевого дня.

Компания Broadcom исправила эту уязвимость ESXi, позволяющую произвольно записывать данные (CVE-2025-22225), в марте 2025 года, наряду с утечкой памяти (CVE-2025-22226) и уязвимостью типа «гонка условий» (TOCTOU) (CVE-2025-22224), отметив их все как активно используемые уязвимости нулевого дня.

«Вредоносный агент с привилегиями в процессе VMX может вызвать произвольную запись в ядро, что приведет к выходу из песочницы», — заявила Broadcom относительно уязвимости CVE-2025-22225.

В то время компания сообщила, что три уязвимости затрагивают продукты VMware ESX, включая VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation и Telco Cloud Platform, и что злоумышленники с привилегированным доступом администратора или root могут использовать их в цепочке для выхода из песочницы виртуальной машины.

Согласно отчету, опубликованному в прошлом месяце компанией по кибербезопасности Huntress, китайскоязычные группы угроз вероятно, использовали эти уязвимости в цепочке в сложных атаках нулевого дня как минимум с февраля 2024 года.

Отмечена как используемая в атаках с вымогательством

В обновлении от среды к своему списку уязвимостей, используемых в реальных атаках, CISA заявило, что CVE-2025-22225 теперь известно, что она используется в кампаниях с применением программ-вымогателей, но не предоставило дополнительных подробностей об этих продолжающихся атаках.

CISA впервые добавило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV) в марте 2025 года и предписало федеральным агентствам обеспечить безопасность своих систем к 25 марта 2025 года, как того требует Binding Operational Directive (BOD) 22-01.

«Применяйте меры по устранению последствий в соответствии с инструкциями поставщика, следуйте применимым указаниям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по устранению последствий недоступны», — заявляет агентство по кибербезопасности.

Группы вымогателей и спонсируемые государством хакерские группы часто нацеливаются на уязвимости VMware, поскольку продукты VMware широко развернуты в корпоративных системах, которые обычно хранят конфиденциальные корпоративные данные.

Например, в октябре CISA предписало правительственным учреждениям устранить уязвимость высокого уровня опасности (CVE-2025-41244) в программном обеспечении VMware Aria Operations и VMware Tools от Broadcom, которую китайские хакеры использовали в атаках нулевого дня с октября 2024 года.

Совсем недавно CISA также отметило критическую уязвимость VMware vCenter Server (CVE-2024-37079) как активно эксплуатируемую в январе и предписало федеральным агентствам обезопасить свои серверы к 13 февраля.

В связанных новостях на этой неделе компания по кибербезопасности GreyNoise сообщила, что CISA «молча» отметило 59 уязвимостей безопасности как известные, используемые в кампаниях с применением программ-вымогателей только за прошлый год.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: