Уязвимость «нулевого дня» в гипервизоре VMware ESXi, которая позволяет злоумышленникам получить контроль над всеми виртуальными машинами хоста, стала инструментом в реальных атаках вирусов-шифровальщиков. Об этом говорят данные Агентства по кибербезопасности и защите инфраструктуры (CISA), которое добавило ее в свой каталог активно эксплуатируемых уязвимостей. Для компаний, которые остаются на VMware без обновлений, это означает серьезный рост ИБ-рисков: Broadcom выпустила патч для этой уязвимости только в марте 2025 года, он официально недоступен для российских пользователей.
Публикуем наш подробный разбор ситуации, которую осветили в ТАСС.
Как эксплуатируют уязвимость
Уязвимость зарегистрирована под номером CVE-2025-22225 и по системе CVSS оценивается на 8,2 из 10, что говорит о ее высоком уровне опасности. Она позволяет злоумышленнику сбежать из «песочницы» — изолированной среды виртуальной машины — и записать произвольный код в область ядра. Компрометация одной виртуальной машины может привести к быстрому захвату контроля над гипервизором, развитию атаки на сеть и шифрованию дисков всех виртуальных машин.
Чтобы использовать уязвимость, злоумышленник должен получить административные привилегии внутри виртуальной машины. Вредоносное ПО может запустить один из сотрудников в результате фишинга, или инсайдер, или легальный пользователь облака на ESXi. Доступ могут получить также в сценарии гибридного или частного облака, если хакеру удастся скомпрометировать сервер через известную уязвимость публично доступного приложения.
После получения привилегий злоумышленник может обойти меры безопасности и выйти за пределы среды одной виртуальной машины на уровень централизованного контроля над всеми хранилищами данных и виртуальными машинами, работающими на гипервизоре. Следующие типичные шаги киберпреступников — внедрение вымогательского ПО, удаление резервных копий, расширение зоны атаки и шифрование как можно большего количества данных.
CVE-2025-22225 актуальна для версий VMware ESXi 7.0 и 8.0, которые еще не получили патч, выпущенный Broadcom в марте 2025 года. Без этого обновления инфраструктура остается в зоне риска, даже если ИТ-периметр закрыт, так как для развития атаки достаточно компрометации всего одной виртуальной машины.
Почему на это стоит обратить внимание
Обязательная практика при обнаружении активной эксплуатации уязвимости — срочная установка патчей безопасности от вендора и обновление инфраструктуры. Но российским компаниям сегодня недоступно исправление для CVE-2025-22225. Официально скачать его можно только через пользовательский портал, который заблокирован для российских заказчиков. Обходные пути вендор блокирует, требуя обязательной авторизации на портале и помечая каждую загрузку уникальной ссылкой, которую можно отследить.
«Большинство российских заказчиков, в инфраструктуре которых еще работает виртуализация VMware, пользуются версией 7.0, потому что обновиться до 8.0 сейчас легально невозможно. Вендор еще в 2022 году разорвал все существующие контракты с российскими заказчиками и остановил продажи для них. При этом для версии 7.0 еще 2 октября 2025 года наступил end of life — окончание технической поддержки. Для нее больше не выпускают обновления, даже патчи по критическим уязвимостям», — рассказывает Максим Березин, директор по развитию бизнеса Orion soft.
«Ситуация осложняется тем, что вы не сможете поставить дополнительные внешние меры защиты. Не спасут ни харденинг политик, ни NGFW, ни WAF. Если злоумышленник получил доступ с правами администратора к гостевой виртуальной машине (а это контролируется внутри ОС гостевой машины), вы никак не сможете помешать ему эксплуатировать эту уязвимость. Максимум что можно сделать — контролировать доступ к ОС виртуальных машин. А также повысить меры защиты сервисов, которые работают в виртуальной среде, чтобы не дать злоумышленнику выйти на исходный рубеж для проведения атаки», — прокомментировал Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность.
«Чтобы уменьшить риски реализации недопустимых событий, в организации необходимо отслеживать и устранять недостатки безопасности, которые эксплуатируются в реальных атаках или могут эксплуатироваться в ближайшем будущем. Мы называем такие уязвимости трендовыми. CVE-2025-22225 была отнесена к трендовым в марте 2025 года после появления первых признаков эксплуатации в реальных атаках. Подробности эксплуатации появились только в декабре. Для обнаружения подобных недостатков безопасности используйте системы для управления активами и уязвимостями. Помочь в приоритизации уязвимостей могут и системы, которые простраивают потенциальные пути атак, моделируя возможные действия злоумышленника», — поделился Александр Леонов, ведущий эксперт по управлению уязвимостями PT Expert Security Center, Positive Technologies.
Невозможность исправить критическую уязвимость, которая уже стала причиной инцидентов, ставит перед компаниями вопрос об ускорении импортозамещения, в том числе для контуров без критической инфраструктуры. Дополнительным аргументом становится то, что без обновлений и техподдержки такие уязвимости накапливаются. Однако, по словам Максима Березина, многие компании закупают российскую виртуализацию только для критических систем, оставляя остальную инфраструктуру на иностранном ПО.
«Заказчики часто говорят о недостаточной функциональности российских решений. На самом деле за последние два года российская виртуализация сделала скачок в развитии. Скорее всего, компаниям стоит начать или повторить тестирование, чтобы это увидеть. На рынке уже есть продукты с продвинутой функцией управления программно-определяемыми сетями (SDN), которая повышает прозрачность управления доступами в сети и защищенность инфраструктуры. Отдельное внимание стоит обратить на возможность микросегментации в SDN. Эта технология позволяет разбить инфраструктуру на множество сегментов с нулевыми правами доступа, так что даже если хакер скомпрометирует одну виртуальную машину, он не сможет продвинуться дальше», — дополняет Максим Березин.
