CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kısa süre önce fidye yazılımı gruplarının yüksek yoğunluklu bir VMware ESXi sandbox kaçış güvenlik açığı olan CVE -2025 -22225 'i aktif olarak kullandığını doğruladı. Mart 2025 'te Broadcom tarafından düzeltilen bu kusur, saldırganların sanal makine izolasyonundan kaçmasını ve hipervizörler arasında fidye yazılımı dağıtmasını sağlıyor. CVE -2025 -22225, VMware ESXi'de bulunan ve Önemli olarak değerlendirilen ve CVSS puanı 8.2 olan keyfi bir yazma güvenlik açığıdır. VMX sürecinde ayrıcalıklara sahip kötü niyetli bir aktör, hipervizör kontrolü elde etmek için sanal alandan çıkarak keyfi bir çekirdek yazımını tetikleyebilir. Diğer iki sıfır gün ile birlikte, CVE -2025 -22224 (CVSS 9.3, yığın taşması) ve CVE -2025 -22226 (CVSS 7.1, bilgi açıklaması) en azından 2025 'in başından beri vahşi doğada kullanılmaktadır. CVE IDCVSS ScoreDescriptionAffected ProductsCVE-2025-222249.3Heap overflow in VMCI driverESXi 7.0, 8.0; Workstation 17.0 CVE-2025-222258.2Arbitrary kernel write via VMXESXi 7.0, 8.0CVE-2025-222267.1HGFS memory leakESXi, Workstation, Fusion

CISA, CVE -2025 -22225 'i 4 Mart 2025' te Bilinen Sömürülen Güvenlik Açıkları (KEV) kataloğuna ekledi ve 25 Mart'a kadar BOD 22 -01 kapsamında federal yamaları zorunlu kıldı. 3 Şubat 2026 'daki son güncellemeler, gruplarla ilgili ayrıntılar açıklanmamasına rağmen, fidye yazılımı kampanyalarında kullanımını işaretledi. Saldırganlar, hassas verileri depolayan kurumsal hipervizörleri hedef alarak tam sanal makine kaçışı için diğer kusurlarla zincirleme yapar. Fidye yazılımı aktörleri, VMCI sürücülerini devre dışı bırakmak, imzasız çekirdek sürücülerini yüklemek ve ASLR bypass için VMX belleğini sızdırmak için genellikle yönetici erişimi yoluyla ilk VM uzlaşmasından yararlanır. Bu, kalıcı hipervizör kontrolü için VSOCKpuppet gibi gizli arka kapıları dağıtır ve ağ izlemeden kaçınır. Daha önce, Çin bağlantılı bilgisayar korsanları, güvenliği ihlal edilmiş SonicWall VPN'leri aracılığıyla Şubat 2024 'ten bu yana zinciri istismar etmiş, veri sızıntısını ve fidye yazılımı hazırlığını hazırlamıştı. Broadcom'un VMSA -2025 -0004 tavsiyesi, yama sürümünde vahşi doğada sömürüyü doğruladı.