CISA: luka w VMware ESXi (CVE-2025-22225) jest już wykorzystywana w atakach ransomware - Security Bez Tabu

CISA: luka w VMware ESXi (CVE-2025-22225) jest już wykorzystywana w atakach ransomware

Wprowadzenie do problemu / definicja luki

CISA potwierdziła 4 lutego 2026 r., że podatność VMware ESXi „sandbox escape” o wysokiej istotności jest wykorzystywana w kampaniach ransomware. Chodzi o CVE-2025-22225 – błąd typu arbitrary write w ESXi, który może umożliwić ucieczkę z kontekstu procesu VMX do jądra/hypervisora, a w praktyce przejęcie hosta.

W skrócie

  • Co się dzieje: CISA zaktualizowała wpis dla CVE-2025-22225, wskazując wykorzystanie w atakach ransomware.
  • Co to za luka: „arbitrary kernel write” osiągalny przez atakującego mającego uprawnienia w procesie VMXucieczka z sandboxa.
  • Status i terminy: podatność była już w KEV (dodana 04.03.2025; termin dla FCEB: 25.03.2025), a vendor wypuścił łatki w ramach VMSA-2025-0004.
  • Dlaczego to ważne: kompromitacja ESXi to „mnożnik szkód” – jeden host to często dziesiątki VM (AD, bazy, pliki, backupy).

Kontekst / historia / powiązania

Broadcom/VMware opublikował poprawki 4 marca 2025 r. w advisory VMSA-2025-0004, obejmującym trzy podatności: CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 (wszystkie oznaczone jako eksploatowane „in the wild”).

Istotny kontekst dorzucił raport Huntress: badany zestaw narzędzi sugerował możliwość łańcuchowania tych luk oraz wskazywał, że przygotowanie/wykorzystanie mogło sięgać co najmniej lutego 2024 r. (ślady w ścieżkach PDB i artefaktach developerskich; elementy sugerujące chińskojęzyczne środowisko).

Analiza techniczna / szczegóły luki

CVE-2025-22225 jest opisana jako podatność arbitrary write w VMware ESXi: atakujący z uprawnieniami w VMX process może doprowadzić do dowolnego zapisu w jądrze, co skutkuje sandbox escape.

W praktycznych scenariuszach „VM escape” rzadko jest pojedynczym bugiem „od zera do roota”. Huntress opisuje schemat łańcucha, w którym:

  • elementy typu info leak (HGFS, CVE-2025-22226) pomagają ominąć ASLR/uzyskać dane z procesu VMX,
  • podatność typu TOCTOU / memory corruption (VMCI, CVE-2025-22224) daje kontrolę nad pamięcią,
  • a arbitrary write / escape (CVE-2025-22225) domyka przejęcie hypervisora.

Dodatkowy „twist” z perspektywy detekcji: Huntress zwraca uwagę na wykorzystanie VSOCK (komunikacja VM ↔ host) do kanału sterowania/backdoora, co może być niewidoczne dla klasycznych narzędzi sieciowych (IDS/Firewall), jeśli organizacja nie monitoruje hosta ESXi i nietypowych procesów/gniazd VMCI/VSOCK.

Praktyczne konsekwencje / ryzyko

Jeśli atakujący ucieknie z VM na poziom hosta ESXi, zyskuje potencjał do:

  • masowego wyłączania, migawkowania, manipulacji dyskami VM, a finalnie szybkiego szyfrowania wielu maszyn (typowy efekt w ransomware),
  • sabotażu kopii (np. datastore, repozytoria, segmentacja), niszczenia logów i utrudniania IR,
  • eskalacji w domenie (gdy na hostach stoją kontrolery domeny / serwery zarządzające) lub odcięcia organizacji od usług krytycznych.

CISA nie podała publicznie szczegółów kampanii ransomware (TTP, grup, IOC), ale sama etykieta „exploited in ransomware campaigns” w kontekście ESXi jest praktycznie sygnałem „patch albo ryzykujesz katastrofalny blast radius”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „teraz”, ułożonych od najbardziej krytycznych:

  1. Natychmiastowa weryfikacja wersji i patching wg VMSA-2025-0004
    Zidentyfikuj hosty ESXi (także w oddziałach/ROBO i labach), porównaj z matrycą poprawek i zaktualizuj do wersji naprawionych wskazanych w advisory (VMSA-2025-0004 obejmuje ESXi 7/8 i inne produkty).
  2. Traktuj to jako incydent, jeśli patchowanie było opóźnione
    Jeśli host był niezałatany od marca 2025 r., rozważ przegląd zdarzeń i artefaktów (logi hosta ESXi, vCenter, EDR na VM) pod kątem nietypowych operacji wokół VMX/VMCI/VSOCK.
  3. Utwardź punkt wejścia: VPN i dostęp administracyjny
    Huntress opisał scenariusz, w którym „wejście” było prawdopodobnie przez skompromitowany VPN, a dopiero później uruchomiono łańcuch ucieczki z VM. W praktyce: MFA wszędzie, twarde polityki dla kont uprzywilejowanych, ograniczenie ekspozycji paneli zarządzania.
  4. Monitoring hosta ESXi pod kątem VSOCK/VMCI oraz procesów
    W środowiskach, gdzie nie ma EDR na hypervisorze, wprowadź przynajmniej „host-based hunting”: sprawdzanie podejrzanych procesów i otwartych gniazd VMCI/VSOCK (Huntress wskazuje m.in. podejście typu lsof -a na hostach).
  5. Plan odporności na ransomware dla warstwy wirtualizacji
    Zweryfikuj, czy kopie zapasowe VM są offline/immutable, czy vCenter/ESXi nie mają wspólnych haseł, a role i uprawnienia są minimalne (zwłaszcza w warstwie zarządzania). To nie „naprawi” CVE, ale ograniczy skutki. (To wniosek operacyjny wynikający z charakteru kompromitacji hypervisora opisywanej przez Huntress i CISA).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do „klasycznych” fal ransomware na ESXi, które często bazują na:

  • słabych hasłach/SSH, błędach w ekspozycji usług lub
  • kompromitacji vCenter / narzędzi zarządzających,

tu kluczowa różnica to próba „przeskoczenia” z poziomu VM do hypervisora. To bardziej złożone, ale za to daje atakującemu wyjątkowo szeroki dostęp (jedno przejęcie → wiele VM).

Podsumowanie / kluczowe wnioski

  • CVE-2025-22225 jest teraz jawnie wiązana przez CISA z ransomware (potwierdzenie 4 lutego 2026 r.).
  • To podatność arbitrary write → sandbox escape w ESXi, a w praktyce element łańcucha z CVE-2025-22224/22226.
  • Jeśli Twoje hosty ESXi nie były aktualizowane wg VMSA-2025-0004, ryzyko jest nieproporcjonalnie wysokie (blast radius hypervisora).
  • Priorytet: patch + weryfikacja śladów + utwardzenie wejścia (VPN/privileged access) + monitoring hosta.

Źródła / bibliografia

  1. BleepingComputer – „CISA: VMware ESXi flaw now exploited in ransomware attacks” (04.02.2026) (BleepingComputer)
  2. Broadcom/VMware – VMSA-2025-0004 (04.03.2025) (Support Portal)
  3. NVD – wpis dla CVE-2025-22225 (w tym informacja o KEV i terminie dla FCEB) (nvd.nist.gov)
  4. Huntress – „The Great VM Escape: ESXi Exploitation in the Wild” (07.01.2026) (Huntress)
  5. Help Net Security – „CISA confirms exploitation of VMware ESXi flaw by ransomware attackers” (05.02.2026) (Help Net Security)