【安全圈】黑客利用0Day漏洞工具包在野攻擊VMware ESXi實例

關鍵詞

漏洞

網絡安全公司Huntress發現黑客正在利用一個0Day漏洞工具包攻擊VMware ESXi實例，該工具包通過串聯多個漏洞實現虛擬機逃逸。攻擊者最初通過被入侵的SonicWall VPN獲得初始訪問權限。

攻擊過程分析

威脅行為者首先通過SonicWall VPN獲得立足點，隨后利用被入侵的域管理員賬戶進行橫向移動，先后攻陷備份域控制器和主域控制器。在主域控制器上，攻擊者部署了Advanced Port Scanner和ShareFinder等偵察工具，使用WinRAR暫存數據，并修改Windows防火墻規則以阻止外部出站流量，同時允許內部橫向移動。

在部署漏洞工具包約20分鐘后，攻擊者開始執行ESXi漏洞利用程序，Huntress在勒索軟件部署前成功阻止了攻擊。

MAESTRO漏洞工具包技術細節

Huntress將該工具包命名為MAESTRO，其工作原理包括：

• 使用devcon.exe禁用VMware VMCI驅動程序

• 通過KDU加載未簽名驅動程序以繞過驅動程序簽名強制（DSE）

• 執行核心逃逸操作

工具包截圖（來源：Huntress）

MyDriver.sys驅動程序通過VMware Guest SDK查詢ESXi版本，從支持ESXi 5.1至8.0共155個構建版本的數據表中選擇偏移量，通過HGFS（CVE-2025-22226）泄露VMX基址，通過VMCI（CVE-2025-22224）破壞內存，并部署用于沙箱逃逸的shellcode（CVE-2025-22225）。

CVE編號

CVSS評分

漏洞描述

CVE-2025-22226

7.1

HGFS越界讀取導致VMX內存泄露

CVE-2025-22224

9.3

任意寫入漏洞導致從VMX沙箱逃逸至內核

CVE-2025-22225

8.2

任意寫入漏洞導致從VMX沙箱逃逸至內核

Shellcode會部署名為VSOCKpuppet的后門程序，該后門劫持ESXi的inetd服務（端口21）以獲取root權限，并使用VSOCK進行隱蔽的虛擬機-宿主機通信，這種通信方式對網絡監控工具不可見。

攻擊溯源與防御建議

PDB路徑顯示該工具包在簡體中文環境中開發，如"全版本逃逸--交付"的路徑名稱，時間戳為2024年2月，比Broadcom在2025年3月4日發布的VMSA-2025-0004安全公告早了一年多。2023年11月的client.exe PDB表明該工具采用模塊化設計，被篡改的VMware驅動程序引用了"XLab"。Huntress高度確信攻擊者來自中文環境，基于資源文件和0Day漏洞獲取能力。

防御建議：

• 及時為ESXi打補丁，已停止支持的版本無法獲得修復

• 使用"lsof -a"命令監控ESXi主機的VSOCK進程

• 警惕KDU等BYOD加載器

• 加強VPN安全防護

• 防火墻規則變更和未簽名驅動程序都是系統被入侵的信號

• VSOCK后門可繞過入侵檢測系統（IDS）

此次事件凸顯了虛擬機監控程序面臨的持續威脅，攻擊者通過驅動程序恢復和配置清理保持隱蔽性。隨著針對ESXi的勒索軟件攻擊增加，企業必須加強虛擬化環境的安全防護。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！