Wprowadzenie do problemu / definicja luki
CISA potwierdziła 4 lutego 2026 r., że podatność VMware ESXi „sandbox escape” o wysokiej istotności jest wykorzystywana w kampaniach ransomware. Chodzi o CVE-2025-22225 – błąd typu arbitrary write w ESXi, który może umożliwić ucieczkę z kontekstu procesu VMX do jądra/hypervisora, a w praktyce przejęcie hosta.
W skrócie
- Co się dzieje: CISA zaktualizowała wpis dla CVE-2025-22225, wskazując wykorzystanie w atakach ransomware.
- Co to za luka: „arbitrary kernel write” osiągalny przez atakującego mającego uprawnienia w procesie VMX → ucieczka z sandboxa.
- Status i terminy: podatność była już w KEV (dodana 04.03.2025; termin dla FCEB: 25.03.2025), a vendor wypuścił łatki w ramach VMSA-2025-0004.
- Dlaczego to ważne: kompromitacja ESXi to „mnożnik szkód” – jeden host to często dziesiątki VM (AD, bazy, pliki, backupy).
Kontekst / historia / powiązania
Broadcom/VMware opublikował poprawki 4 marca 2025 r. w advisory VMSA-2025-0004, obejmującym trzy podatności: CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 (wszystkie oznaczone jako eksploatowane „in the wild”).
Istotny kontekst dorzucił raport Huntress: badany zestaw narzędzi sugerował możliwość łańcuchowania tych luk oraz wskazywał, że przygotowanie/wykorzystanie mogło sięgać co najmniej lutego 2024 r. (ślady w ścieżkach PDB i artefaktach developerskich; elementy sugerujące chińskojęzyczne środowisko).
Analiza techniczna / szczegóły luki
CVE-2025-22225 jest opisana jako podatność arbitrary write w VMware ESXi: atakujący z uprawnieniami w VMX process może doprowadzić do dowolnego zapisu w jądrze, co skutkuje sandbox escape.
W praktycznych scenariuszach „VM escape” rzadko jest pojedynczym bugiem „od zera do roota”. Huntress opisuje schemat łańcucha, w którym:
- elementy typu info leak (HGFS, CVE-2025-22226) pomagają ominąć ASLR/uzyskać dane z procesu VMX,
- podatność typu TOCTOU / memory corruption (VMCI, CVE-2025-22224) daje kontrolę nad pamięcią,
- a arbitrary write / escape (CVE-2025-22225) domyka przejęcie hypervisora.
Dodatkowy „twist” z perspektywy detekcji: Huntress zwraca uwagę na wykorzystanie VSOCK (komunikacja VM ↔ host) do kanału sterowania/backdoora, co może być niewidoczne dla klasycznych narzędzi sieciowych (IDS/Firewall), jeśli organizacja nie monitoruje hosta ESXi i nietypowych procesów/gniazd VMCI/VSOCK.
Praktyczne konsekwencje / ryzyko
Jeśli atakujący ucieknie z VM na poziom hosta ESXi, zyskuje potencjał do:
- masowego wyłączania, migawkowania, manipulacji dyskami VM, a finalnie szybkiego szyfrowania wielu maszyn (typowy efekt w ransomware),
- sabotażu kopii (np. datastore, repozytoria, segmentacja), niszczenia logów i utrudniania IR,
- eskalacji w domenie (gdy na hostach stoją kontrolery domeny / serwery zarządzające) lub odcięcia organizacji od usług krytycznych.
CISA nie podała publicznie szczegółów kampanii ransomware (TTP, grup, IOC), ale sama etykieta „exploited in ransomware campaigns” w kontekście ESXi jest praktycznie sygnałem „patch albo ryzykujesz katastrofalny blast radius”.
Rekomendacje operacyjne / co zrobić teraz
Poniżej zestaw działań „teraz”, ułożonych od najbardziej krytycznych:
- Natychmiastowa weryfikacja wersji i patching wg VMSA-2025-0004
Zidentyfikuj hosty ESXi (także w oddziałach/ROBO i labach), porównaj z matrycą poprawek i zaktualizuj do wersji naprawionych wskazanych w advisory (VMSA-2025-0004 obejmuje ESXi 7/8 i inne produkty). - Traktuj to jako incydent, jeśli patchowanie było opóźnione
Jeśli host był niezałatany od marca 2025 r., rozważ przegląd zdarzeń i artefaktów (logi hosta ESXi, vCenter, EDR na VM) pod kątem nietypowych operacji wokół VMX/VMCI/VSOCK. - Utwardź punkt wejścia: VPN i dostęp administracyjny
Huntress opisał scenariusz, w którym „wejście” było prawdopodobnie przez skompromitowany VPN, a dopiero później uruchomiono łańcuch ucieczki z VM. W praktyce: MFA wszędzie, twarde polityki dla kont uprzywilejowanych, ograniczenie ekspozycji paneli zarządzania. - Monitoring hosta ESXi pod kątem VSOCK/VMCI oraz procesów
W środowiskach, gdzie nie ma EDR na hypervisorze, wprowadź przynajmniej „host-based hunting”: sprawdzanie podejrzanych procesów i otwartych gniazd VMCI/VSOCK (Huntress wskazuje m.in. podejście typulsof -ana hostach). - Plan odporności na ransomware dla warstwy wirtualizacji
Zweryfikuj, czy kopie zapasowe VM są offline/immutable, czy vCenter/ESXi nie mają wspólnych haseł, a role i uprawnienia są minimalne (zwłaszcza w warstwie zarządzania). To nie „naprawi” CVE, ale ograniczy skutki. (To wniosek operacyjny wynikający z charakteru kompromitacji hypervisora opisywanej przez Huntress i CISA).
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
W porównaniu do „klasycznych” fal ransomware na ESXi, które często bazują na:
- słabych hasłach/SSH, błędach w ekspozycji usług lub
- kompromitacji vCenter / narzędzi zarządzających,
tu kluczowa różnica to próba „przeskoczenia” z poziomu VM do hypervisora. To bardziej złożone, ale za to daje atakującemu wyjątkowo szeroki dostęp (jedno przejęcie → wiele VM).
Podsumowanie / kluczowe wnioski
- CVE-2025-22225 jest teraz jawnie wiązana przez CISA z ransomware (potwierdzenie 4 lutego 2026 r.).
- To podatność arbitrary write → sandbox escape w ESXi, a w praktyce element łańcucha z CVE-2025-22224/22226.
- Jeśli Twoje hosty ESXi nie były aktualizowane wg VMSA-2025-0004, ryzyko jest nieproporcjonalnie wysokie (blast radius hypervisora).
- Priorytet: patch + weryfikacja śladów + utwardzenie wejścia (VPN/privileged access) + monitoring hosta.
Źródła / bibliografia
- BleepingComputer – „CISA: VMware ESXi flaw now exploited in ransomware attacks” (04.02.2026) (BleepingComputer)
- Broadcom/VMware – VMSA-2025-0004 (04.03.2025) (Support Portal)
- NVD – wpis dla CVE-2025-22225 (w tym informacja o KEV i terminie dla FCEB) (nvd.nist.gov)
- Huntress – „The Great VM Escape: ESXi Exploitation in the Wild” (07.01.2026) (Huntress)
- Help Net Security – „CISA confirms exploitation of VMware ESXi flaw by ransomware attackers” (05.02.2026) (Help Net Security)