مراکز امنیت سایبری هشدار داده اند که گروههای باجافزاری شروع به سوءاستفاده از یک آسیبپذیری دور زدن sandbox با شدت بالا در VMware ESXi کردهاند که قبلاً در حملات zero-day استفاده شده است.
شرکت Broadcom این آسیبپذیری نوشتن کد دلخواه ESXi (با شناسه CVE-2025-22225) را در مارس 2025 به همراه یک نشت حافظه (CVE-2025-22226) و یک نقص TOCTOU (CVE-2025-22224) وصله و رفع کرد و همه آنها را به عنوان آسیب پذیری های zero-day فعال مورد سوءاستفاده قرار گرفته برچسب گذاری کرد.
Broadcom در مورد نقص CVE-2025-22225 می گوید: “یک عامل مخرب با امتیازات در فرآیند VMX ممکن است باعث نوشتن دلخواه در هسته و در نهایت منجر به فرار از sandbox میشود.”
در آن زمان، این شرکت اعلام کرد که این سه آسیبپذیری، محصولات VMware ESX، از جمله VMware ESXi، Fusion، Cloud Foundation، vSphere، Workstation و Telco Cloud Platform را تحت تأثیر قرار میدهند و مهاجمانی که دارای دسترسی ممتاز ادمین یا root هستند میتوانند آنها را برای دور زدن sandbox ماشین مجازی به صورت زنجیره ای استفاده کنند.
این آسیب پذیری به عنوان اکسپلویت شده در حملات باجافزاری علامتگذاری شده است
به گفته مرکز CISA باجافزارها و گروههای هکری تحت حمایت دولتها اغلب آسیبپذیریهای VMware را هدف قرار میدهند، زیرا محصولات VMware به طور گسترده در سیستمهای سازمانی استفاده می شوند و معمولاً دادههای حساس شرکتی را ذخیره میکنند.
برای مثال، در ماه اکتبر نیز به سازمانها در مورد یک آسیبپذیری با شدت بالا (CVE-2025-41244) را در نرمافزارهای VMware Aria Operations و VMware Tools که هکرهای چینی از اکتبر 2024 در حملات zero-day از آن سوءاستفاده کردهاند.
همچنین یک آسیبپذیری بحرانی VMware vCenter Server (CVE-2024-37079) را به عنوان آسیبپذیری فعال مورد سوءاستفاده در ژانویه برچسبگذاری شده است و به سازمانها توصیه شده است که در اسرع وقت آن را وصله و رفع نمایند.
منبع: