近日,威胁监测平台影子服务器基金会(The Shadowserver Foundation)发布报告,指出超 3.7 万个互联网暴露的威睿(VMware)ESXi 实例存在严重安全隐患,极易受到 CVE-2025-22224 漏洞的攻击。该漏洞属于严重的越界写入缺陷,目前已在野外被黑客积极利用。
影子服务器基金会此前报告的数据显示,昨天受影响的实例数量约为 4.15 万。而今日数据显示,仍有 3.7 万个实例存在漏洞,这意味着昨天有 4500 台设备已完成漏洞修复。
CVE-2025-22224 是一个极为严重的 VCMI 堆溢出漏洞。一旦被利用,拥有虚拟机客户机管理权限的本地攻击者便能突破沙盒限制,以 VMX 进程的身份在主机上执行恶意代码。
2025 年 3 月 4 日,博通(Broadcom)向客户发出安全警告,除 CVE-2025-22224 外,还涉及另外两个漏洞,即 CVE-2025-22225 和 CVE-2025-22226。这三个漏洞在攻击中均被当作零日漏洞利用。
这些漏洞由微软威胁情报中心发现。在一段未公开的时间里,该中心监测到这些漏洞被黑客以零日漏洞的方式利用。目前,关于攻击来源和目标的相关信息尚未披露。
美国网络安全与基础设施安全局(CISA)已要求联邦机构和州级组织,务必在 2025 年 3 月 25 日前完成可用的更新和缓解措施,否则需停止使用相关产品。
影子服务器基金会的报告还指出,受影响的实例分布广泛,其中中国受影响的实例数量最多,达 4400 个;法国紧随其后,有 4100 个;美国有 3800 个;德国和伊朗均为 2800 个;巴西为 2200 个。由于 VMware ESXi 是企业 IT 环境中用于虚拟机管理的热门虚拟化管理程序,应用十分广泛,此次漏洞的影响范围是全球性的。
