CISA: VMware ESXi flaw now exploited in ransomware attacks

CISA (U.S. Cybersecurity and Infrastructure Security Agency) ได้ยืนยันว่ากลุ่มแรนซัมแวร์ได้เริ่มใช้ประโยชน์จากช่องโหว่ VMware ESXi sandbox escape ที่มีความรุนแรงสูง (high-severity) ซึ่งก่อนหน้านี้เคยถูกใช้ในการโจมตีแบบ Zero-day ช่องโหว่นี้ (CVE-2025-22225) ได้รับการแก้ไขโดย Broadcom ในเดือนมีนาคม 2025 พร้อมกับช่องโหว่อื่นๆ ที่มีการใช้งานในการโจมตีแล้ว

Severity: สูง (High)

System Impact:

• VMware ESXi
• VMware Fusion
• VMware Cloud Foundation
• VMware vSphere
• VMware Workstation
• VMware Telco Cloud Platform
• VMware Aria Operations
• VMware Tools software
• VMware vCenter Server

Technical Attack Steps:

1. ผู้ไม่หวังดีที่มีสิทธิ์ในกระบวนการ VMX สามารถเรียกใช้การเขียนเคอร์เนลโดยพลการ (arbitrary kernel write) บนระบบที่ได้รับผลกระทบ
2. การเขียนเคอร์เนลนี้ทำให้เกิดการหลบหนีออกจาก Sandbox ของระบบเสมือน (VMware ESXi sandbox escape)
3. ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแล (administrator) หรือ Root สามารถนำช่องโหว่นี้ไปเชื่อมโยงกับช่องโหว่อื่นๆ (CVE-2025-22226 และ CVE-2025-22224) เพื่อหลบหนีออกจาก Sandbox ของเครื่องเสมือนได้อย่างสมบูรณ์
4. ช่องโหว่นี้เคยถูกใช้ในการโจมตีแบบ Zero-day และปัจจุบันถูกนำมาใช้ในแคมเปญแรนซัมแวร์

Recommendations:

Short Term:

• ทำการติดตั้งแพตช์สำหรับช่องโหว่ CVE-2025-22225, CVE-2025-22226 และ CVE-2025-22224 ที่ Broadcom ได้เผยแพร่ในเดือนมีนาคม 2025 โดยทันที
• ปฏิบัติตามคำแนะนำในการลดผลกระทบจากผู้จำหน่าย (vendor instructions) อย่างเคร่งครัด
• สำหรับหน่วยงานภาครัฐของสหรัฐฯ ให้ปฏิบัติตามคำสั่ง Binding Operational Directive (BOD) 22-01 ของ CISA และดำเนินการแก้ไขภายในวันที่ 25 มีนาคม 2025
• ทำการแพตช์ช่องโหว่ที่มีความรุนแรงสูง (CVE-2025-41244) ใน Broadcom’s VMware Aria Operations และ VMware Tools software
• ทำการแก้ไขช่องโหว่ร้ายแรง (CVE-2024-37079) ใน VMware vCenter Server ภายในวันที่ 13 กุมภาพันธ์ (ตามคำสั่งของ CISA)
• หากไม่มีมาตรการลดผลกระทบที่ใช้งานได้ผล ให้พิจารณาหยุดใช้ผลิตภัณฑ์ที่ได้รับผลกระทบชั่วคราว

Long Term:

• ตรวจสอบแค็ตตาล็อกช่องโหว่ที่ถูกใช้ในการโจมตี (Known Exploited Vulnerabilities – KEV) ของ CISA อย่างสม่ำเสมอเพื่อรับทราบข้อมูลล่าสุด
• พัฒนากลยุทธ์การจัดการแพตช์ที่แข็งแกร่งสำหรับผลิตภัณฑ์ VMware ทั้งหมดและซอฟต์แวร์ระดับองค์กรอื่นๆ
• บังคับใช้การจัดการสิทธิ์ที่เข้มงวดและการแบ่งส่วน (segmentation) ภายในสภาพแวดล้อมเสมือนจริง
• ติดตั้งและอัปเดตโซลูชันการตรวจจับและป้องกันภัยคุกคามขั้นสูง เพื่อระบุความพยายามในการโจมตีแบบ Zero-day

Source: https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/