【安全圈】黑客利用0Day漏洞工具包在野攻击VMware ESXi实例

关键词

漏洞

网络安全公司Huntress发现黑客正在利用一个0Day漏洞工具包攻击VMware ESXi实例，该工具包通过串联多个漏洞实现虚拟机逃逸。攻击者最初通过被入侵的SonicWall VPN获得初始访问权限。

攻击过程分析

威胁行为者首先通过SonicWall VPN获得立足点，随后利用被入侵的域管理员账户进行横向移动，先后攻陷备份域控制器和主域控制器。在主域控制器上，攻击者部署了Advanced Port Scanner和ShareFinder等侦察工具，使用WinRAR暂存数据，并修改Windows防火墙规则以阻止外部出站流量，同时允许内部横向移动。

在部署漏洞工具包约20分钟后，攻击者开始执行ESXi漏洞利用程序，Huntress在勒索软件部署前成功阻止了攻击。

MAESTRO漏洞工具包技术细节

Huntress将该工具包命名为MAESTRO，其工作原理包括：

• 使用devcon.exe禁用VMware VMCI驱动程序

• 通过KDU加载未签名驱动程序以绕过驱动程序签名强制（DSE）

• 执行核心逃逸操作

工具包截图（来源：Huntress）

MyDriver.sys驱动程序通过VMware Guest SDK查询ESXi版本，从支持ESXi 5.1至8.0共155个构建版本的数据表中选择偏移量，通过HGFS（CVE-2025-22226）泄露VMX基址，通过VMCI（CVE-2025-22224）破坏内存，并部署用于沙箱逃逸的shellcode（CVE-2025-22225）。

CVE编号

CVSS评分

漏洞描述

CVE-2025-22226

7.1

HGFS越界读取导致VMX内存泄露

CVE-2025-22224

9.3

任意写入漏洞导致从VMX沙箱逃逸至内核

CVE-2025-22225

8.2

任意写入漏洞导致从VMX沙箱逃逸至内核

Shellcode会部署名为VSOCKpuppet的后门程序，该后门劫持ESXi的inetd服务（端口21）以获取root权限，并使用VSOCK进行隐蔽的虚拟机-宿主机通信，这种通信方式对网络监控工具不可见。

攻击溯源与防御建议

PDB路径显示该工具包在简体中文环境中开发，如"全版本逃逸--交付"的路径名称，时间戳为2024年2月，比Broadcom在2025年3月4日发布的VMSA-2025-0004安全公告早了一年多。2023年11月的client.exe PDB表明该工具采用模块化设计，被篡改的VMware驱动程序引用了"XLab"。Huntress高度确信攻击者来自中文环境，基于资源文件和0Day漏洞获取能力。

防御建议：

• 及时为ESXi打补丁，已停止支持的版本无法获得修复

• 使用"lsof -a"命令监控ESXi主机的VSOCK进程

• 警惕KDU等BYOD加载器

• 加强VPN安全防护

• 防火墙规则变更和未签名驱动程序都是系统被入侵的信号

• VSOCK后门可绕过入侵检测系统（IDS）

此次事件凸显了虚拟机监控程序面临的持续威胁，攻击者通过驱动程序恢复和配置清理保持隐蔽性。随着针对ESXi的勒索软件攻击增加，企业必须加强虚拟化环境的安全防护。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！