吳明宜資安公司 Huntress 最新調查揭露,博通 (Broadcom) 於去年(2025 年)3 月修補的 3 個 VMware ESXi 漏洞,早在 2024 年 2 月就已遭到駭客利用。這意味著這些漏洞在被公開與修補前一年,就已成為零時差攻擊 (Zero-day exploit) 的目標。
Huntress 在去年 12 月偵測到一起攻擊事件,攻擊者利用一套複雜的虛擬機逃逸 (VM escape) 工具,針對 VMware ESXi 進行攻擊。涉及的漏洞分別為:CVE-2025-22224(CVSS 風險值 9.3)越界寫入漏洞、 CVE-2025-22225(CVSS 風險值 8.2)沙箱逃逸漏洞,以及 CVE-2025-22226(CVSS 風險值 7.1)越界讀取漏洞。
博通在去年公開漏洞時曾發出警告,攻擊者可串聯這 3 項漏洞,取得管理員權限並逃逸出虛擬機,進而在底層 Hypervisor 執行惡意程式碼。然而,Huntress 的調查發現,這類攻擊手法可能早在 2024 年 2 月就已成形。研究人員在攻擊程式的 PDB 路徑中發現了「C:\Users\test\Desktop\2024_02_19\全版本逃逸– 交付\report\ESXI_8.0u3\」的字串。這不僅顯示攻擊目標針對 ESXi 8.0 Update 3,且路徑中出現的「全版本逃逸– 交付」為簡體中文,明確暗示攻擊者為使用簡體中文的人士或組織。
在攻擊路徑方面,Huntress 推測駭客最初是透過入侵 SonicWall VPN 裝置進入受害者網路,接著取得網域管理員帳號,利用 RDP 連線至網域控制器準備將資料外傳。最後,駭客執行漏洞串聯攻擊,成功逃出虛擬機並存取 ESXi Hypervisor 。
Huntress 依據多項濫用行為判斷駭客利用了上述漏洞,包括:透過 HGFS (Host Guest File System) 外洩資料、利用 VMCI (VM Command Interface) 損毀記憶體,以及使用 shellcode 逃出虛擬機存取 Hypervisor 核心。儘管目前僅具備中等信心水準,且尚無法百分之百確認這些行為是否完全對應博通去年的警告,但攻擊程式路徑中的簡體中文資訊,加上同時存在的英文版 README 檔案,顯示駭客極可能有意將此攻擊工具分享或販售給其他地區的攻擊者。