黑客利用0DAY漏洞利用工具包攻击 VMware ESXi 实例

攻击者利用被入侵的 SonicWall VPN 来投放针对 VMware ESXi 0day漏洞的工具包，这些漏洞可能在公开披露一年多之前就被利用了。

该攻击链包含一个复杂的虚拟机逃逸机制，并且似乎在相关 VMware 漏洞公开披露一年多之前就已经开发完成。

对 2025 年 12 月观察到的攻击进行分析表明，该组织很早就知道三个后来在 2025 年 3 月披露的 ESXi 0day漏洞，这表明他们长期以来一直在秘密利用这些漏洞。

2025 年 12 月，Huntress 研究人员检测到一次入侵，导致 VMware ESXi 漏洞利用工具包的部署，最初的访问归因于被入侵的 SonicWall VPN。

简体中文字符串和构建路径等证据表明，该工具包很可能是在 VMware 公开披露其缺陷一年多之前作为0day漏洞开发的，这表明攻击者拥有雄厚的资源。

攻击者利用域管理员凭据进行横向移动，执行侦察任务，修改防火墙规则以阻止外部访问，同时保留内部流量，并预先准备数据以进行数据窃取。

该工具包针对多达 155 个 ESXi 版本，并通过禁用 VMCI 驱动程序和未签名内核驱动程序实现虚拟机逃逸，这可能为勒索软件的攻击铺平道路。攻击最终在造成影响之前被阻止。

VMware 于 2025 年 3 月发布的安全公告 VMSA-2025-0004 修复了三个已被积极利用的0day漏洞，这些漏洞可导致 ESXi 虚拟机逃逸和代码执行：

CVE-2025-22226 (CVSS 7.1)：HGFS 文件系统中的越界读取漏洞，允许 VMX 进程内存泄漏。CVE-2025-22224 (CVSS 9.3)：VMCI 中的一个 TOCTOU 漏洞，会导致越界写入，从而允许以 VMX 进程身份执行代码。CVE-2025-22225 (CVSS 8.2)：ESXi 中的一个任意写入漏洞，允许攻击者逃逸 VMX 沙箱并访问内核。

攻击者依赖名为 MAESTRO 的编排器来管理完整的 VMware ESXi 虚拟机逃逸。它会禁用 VMCI 驱动程序，通过BYOD技术加载未签名的漏洞利用驱动程序，并协调漏洞利用过程。

该驱动程序会泄漏 VMX 内存以绕过 ASLR，利用 HGFS 和 VMCI 的漏洞，将 shellcode 写入 VMX 进程，并逃逸到 ESXi 内核。

然后，它会部署一个隐蔽的基于 VSOCK 的后门程序（VSOCKpuppet），从而能够从客户虚拟机持久远程控制虚拟机管理程序，同时绕过传统的网络监控，并恢复驱动程序以降低被检测到的风险。

Huntress 的研究人员发现证据表明，该漏洞利用链可能至少从 2024 年 2 月起就已被使用。Huntress发布的报告指出：“这些漏洞利用二进制文件包含PDB路径，可以深入了解开发环境。”

“ MyDriver.sys：

C:\Users\test\Desktop\2024_02_19\全版本逃逸–交付\报告\ESXI_8.0u3\

文件夹名称表明这是一个针对 ESXi 8.0 Update 3 的打包交付物。路径中的日期（2024 年 2 月 19 日）比 VMware 的公开披露早了一年多，证实这是作为潜在的0day漏洞利用程序开发的。

该工具包的来源线索错综复杂。开发路径中包含简体中文，但README文件却是英文的，这表明它可能是为了更广泛地分发或销售而开发的。

驱动程序文件中提到了“XLab”，这是一个通用名称，可能只是巧合，目前尚无证据表明它与任何组织有关联。

总而言之，该工具包使用了中文元素，技术水平很高，而且在披露之前就可能已经掌握了0day漏洞，这些都指向一个资金雄厚的开发者。

报告总结道：“此次入侵展示了一个复杂的、多阶段的攻击链，旨在突破虚拟机隔离并攻破底层 ESXi 管理程序。攻击者通过信息泄露、内存损坏和沙箱逃逸等一系列攻击手段，实现了所有虚拟机管理员都梦寐以求的目标：从客户虚拟机内部完全控制管理程序。”

报告还指出：“从 PDB 路径中揭示的开发时间线表明，该漏洞可能在 VMware 公开披露前一年多就已作为0day漏洞存在，这凸显了拥有充足资源并能利用未修补漏洞的攻击者所构成的持续威胁。”

技术报告全文：

《虚拟机大逃亡：ESXi漏洞利用实战》

https://www.huntress.com/blog/esxi-vm-escape-exploit