هشدار امنیتی مهمی با عنوان VMSA-2025-0004 منتشر شده که شامل سه آسیبپذیری امنیتی بحرانی در محصولات ESXi، Workstation و Fusion می باشد. این آسیبپذیریها در سطح hypervisor، تهدیدی جدی برای زیرساختهای مجازیسازی محسوب میشوند و امکان اجرای کد از داخل ماشین مجازی به سطح میزبان را برای مهاجم فراهم میکنند. این مقاله به تحلیل فنی، اثرگذاری، سناریوهای سوءاستفاده و راهکارهای مقابله با این تهدیدها میپردازد.
معرفی و اهمیت آسیبپذیری CVE-2025-22225
VMware ESXi یکی از پرکاربردترین Hypervisorهای نوع 1 است که در دیتاسنترهای سازمانی برای اجرای ماشینهای مجازی استفاده میشود. ضعف امنیتی در این لایه، نه تنها یک ماشین مجازی، بلکه تمام زیرساخت را در معرض خطر قرار میدهد. سه آسیبپذیری معرفی شده در VMSA-2025-0004 عبارتند از:
- آسیبپذیری CVE-2025-22224 از نوع آسیبپذیری TOCTOU در VMCI
- آسیبپذیری CVE-2025-22225 از نوع Heap overflow در درایور vmnet
- آسیب پذیری CVE-2025-22226 از نوع Use-after-free در درایور xHCI
بررسی فنی آسیبپذیریها
آسیبپذیری CVE-2025-22224 از نوع آسیبپذیری TOCTOU در VMCI
این آسیبپذیری زمانی رخ میدهد که مهاجم از اختلاف زمان بین بررسی مجوز یا check و استفاده از منبع use در VMCI سوءاستفاده میکند. در این window زمانی کوتاه، وضعیت منبع میتواند تغییر کند و امکان نوشتن داده خارج از محدوده حافظه را فراهم سازد. نتیجه آن، اجرای کد در سطح میزبان یا host است.
ویدیوهای بیشتر درباره VMware
آسیبپذیری CVE-2025-22225 از نوع Heap overflow در درایور vmnet
این نقص مربوط به درایور ارتباطی vmnet است. مهاجم میتواند از داخل VM با ارسال بستههای خاص به شبکه مجازی، باعث overflow در حافظه heap شود. این حالت به مهاجم اجازه میدهد ساختار حافظه را دستکاری و کد دلخواه خود را اجرا کند.
آسیب پذیری CVE-2025-22226 از نوع Use-after-free در درایور xHCI
در این آسیبپذیری، مهاجم از اشارهگری که قبلاً آزاد یا free شده مجدداً استفاده میکند. این رفتار میتواند باعث ناپایداری سیستم، crash یا اجرای کد مخرب شود. با توجه به اینکه xHCI در مدیریت دستگاههای USB مجازی کاربرد دارد، این نقص خطرناک تلقی میشود.
بیشتر بخوانید: معماری و نقش راهکارهای VMware در بهینهسازی زیرساختهای فناوری اطلاعات سازمانی
سناریوهای حمله
مهاجمی که دسترسی به یک ماشین مجازی در بستر ESXi دارد، میتواند با استفاده از این آسیبپذیریها:
- به hypervisor دسترسی root پیدا کند.
- ماشینهای مجازی دیگر را تحت کنترل قرار دهد.
- implant یا backdoor در سطح سیستم عامل میزبان نصب کند.
- کنترل کامل زیرساخت مجازی را به دست بگیرد.
در برخی موارد گزارش شده، مهاجمان از این نقصها برای حملات پایدار یا Persistentدر محیطهای سازمانی استفاده کردهاند.
راهکارهای مقابله و توصیههای امنیتی
نصب Patch رسمی از VMware
بلافاصله پس از کشف این آسیبپذیریها، نسخههای اصلاحشده منتشر شد:
- ESXi 8.0 با Update 2d یا جدیدتر
- ESXi 7.0 با Update 3s یا جدیدتر
- Workstation نسخه 17.5.1 یا جدیدتر
- Fusion نسخه 13.5.1 یا جدیدتر
بهروزرسانی سریع به این نسخهها به شدت توصیه میشود.
جهت مشاوره رایگان و یا راه اندازی زیرساخت مجازی سازی دیتاسنتر با کارشناسان شرکت APK تماس بگیرید. |
محدود کردن قابلیت VMCI و درایورهای آسیبپذیر
میتوان از طریق تنظیمات پیکربندی ماشین مجازی، VMCI را غیرفعال کرد:
`isolation.tools.vmci.disable = “TRUE”`
همچنین در صورت عدم نیاز، USB و شبکه داخلی مجازی (host-only) را غیرفعال کنید.
استفاده از Virtual Patching و NSX Firewall
در شرایطی که patch رسمی قابل اعمال نیست، میتوان از NSX یا فایروالهای مجازی استفاده کرد تا مسیرهای ارتباطی مشکوک بین VM و Host محدود شوند.
بیشتر بخوانید: آشنایی با راهکار معماری ذخیرهسازی VMware Infrastructure
نظارت مبتنی بر SIEM و رفتار غیرمعمول
لازم است لاگهای vCenter و ESXi برای فعالیتهای زیر پایش شود
- بارگذاری فایلهای ناشناس در مسیرهای سیستمی
- اجرای غیرعادی ابزارهای مدیریتی مانند esxcli
- ارتباطات مشکوک بین VM و Host
- آموزش تیم فنی و امنیتی
تیمهای زیرساخت و امنیت باید با مفهوم VM Escape و ضعفهای Hypervisor آشنا باشند تا در آینده بتوانند واکنش مناسبی نشان دهند.
آسیبپذیریهای معرفیشده در VMSA-2025-0004 از بحرانیترین تهدیدات امنیتی در زیرساختهای مجازیسازی محسوب میشوند. بهرهبرداری از آنها به مهاجم امکان کنترل کامل میزبان، نفوذ به سایر VMها و حتی تخریب زیرساخت را میدهد. نصب بهروزرسانی رسمی، غیرفعالسازی ویژگیهای غیرضروری، مانیتورینگ و آموزش نیروهای عملیاتی، مهمترین اقدامات برای مقابله با این تهدید است. سازمانهایی که از ESXi و Workstation استفاده میکنند، باید این هشدار را بسیار جدی بگیرند و اقدامات اصلاحی را فوراً انجام دهند تا از وقوع حوادث بزرگ جلوگیری کنند.
چکلیست امنیتی مقابله با آسیبپذیریهای VMSA-2025-0004 (ESXi و Workstation)
| مورد | وضعیت | توضیح |
|---|---|---|
| بررسی نسخه فعلی ESXi / Workstation | ☐ | از طریق vSphere یا CLI مانند vmware -v |
| پایش لاگهای ESXi/vCenter برای فعالیتهای مشکوک | ☐ | مثل اجرای esxcli یا بارگذاری فایلهای غیرمعمول |
| بررسی ارتباطات غیرعادی بین VM و Host | ☐ | خصوصاً VMهایی که از vmnet یا VMCI استفاده میکنند |
| اجرای اسکن آسیبپذیری با Nessus/Qualys | ☐ | بررسی تطابق با CVE-2025-22224/25/26 |
مرحله ۲: مهار یا Containment
| مورد | وضعیت | توضیح |
|---|---|---|
| غیرفعالسازی VMCI در فایل .vmx ماشینهای مجازی | ☐ | اضافه کردن خط isolation.tools.vmci.disable = "TRUE" |
| غیرفعالسازی درایور USB مجازی در VMهایی که نیاز ندارند | ☐ | از بخش Hardware در تنظیمات VM |
| محدودسازی VMهایی که توسط third-partyها مدیریت میشوند | ☐ | محدودسازی VMهای با سطح ریسک بالا (مثلاً تست، توسعه) |
مرحله ۳: اصلاح یا Remediation
| مورد | وضعیت | توضیح |
|---|---|---|
| نصب Patch رسمی ESXi 7.0 (Update 3s) یا 8.0 (Update 2d) | ☐ | از طریق vCenter یا CLI |
| بهروزرسانی Workstation به نسخه 17.5.1 و Fusion به 13.5.1 | ☐ | بررسی از مسیر Help > Software Updates |
| بررسی integrity فایلهای سیستمی ESXi | ☐ | مقایسه hash فایلهای system با نسخه امن |
| پاکسازی احتمالی implantها یا shellها | ☐ | جستجوی فایلهای ناشناس در /vmfs/volumes/datastore*/ |
مرحله ۴: تقویت و پیشگیری یا Hardening
| مورد | وضعیت | توضیح |
|---|---|---|
| فعالسازی قفلها و محدودیتهای امنیتی در vSphere | ☐ | مانند Lockdown Mode و Trusted Platform Module |
| استفاده از NSX برای micro-segmentation و virtual patching | ☐ | بلاک کردن ترافیک مشکوک بین VM و Host |
| اعمال rule در SIEM برای رفتارهای غیرعادی | ☐ | مانیتورینگ رخدادهای مربوط به VMCI، vmnet، xhci |
| مستندسازی آسیبپذیری و اقدامات انجام شده | ☐ | تهیه گزارش داخلی برای مدیریت امنیت و حسابرسی |
مرحله ۵: آموزش و آمادگی یا Awareness & Response
| مورد | وضعیت | توضیح |
|---|---|---|
| اطلاعرسانی داخلی به تیم DevOps و SOC | ☐ | ارسال هشدار امنیتی و اقدامات لازم |
| برگزاری tabletop exercise بر اساس سناریوی VM Escape | ☐ | بررسی واکنش تیم در صورت رخ دادن حمله واقعی |
| بهروزرسانی فرآیند IR برای حملات Hypervisor-Level | ☐ | افزودن VM Escape به سیاستهای IR داخلی |
برای زیرساختهای حیاتی، فعالسازی سیستم فایل فقط Read در ESXi (immutable ESXi) برای جلوگیری از implant پایدار توصیه میشود. VMهایی که دسترسی اینترنت یا ارتباط گسترده با دیگر سیستمها دارند، باید حتماً با least privilege و جداسازی شبکهای پیکربندی شوند.
