سوءاستفاده از آسیب‌پذیری بحرانی VMware ESXi برای انتشار باج‌افزار

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) هشدار داده که یک آسیب‌پذیری با شدت بالا در VMware ESXi اکنون به‌طور فعال در حملات باج‌افزاری مورد سوءاستفاده قرار می‌گیرد. این نقص امنیتی که با شناسه CVE-2025-22225 شناخته می‌شود، پیش‌تر به‌عنوان یک آسیب‌پذیری روز-صفر شناسایی شده بود.

بر اساس گزارش CISA، مهاجمان با در اختیار داشتن سطح دسترسی در فرایند VMX می‌توانند عملیات «نوشتن دلخواه در هسته» را اجرا کرده و از محیط ایزوله (Sandbox) ماشین مجازی خارج شوند؛ موضوعی که می‌تواند کنترل کامل میزبان ESXi را در اختیار مهاجم قرار دهد.

شرکت برادکام (Broadcom) در مارس ۲۰۲۵ این آسیب‌پذیری را به‌همراه دو نقص امنیتی دیگر شامل یک نشت حافظه (با شناسه CVE-2025-22226) و یک ضعف از نوع TOCTOU (با شناسه CVE-2025-22224) وصله کرد. به گفته این شرکت، مهاجمان دارای دسترسی مدیریتی یا root قادر هستند این سه آسیب‌پذیری را به‌صورت زنجیره‌ای مورد سوءاستفاده قرار دهند.

تحقیقات شرکت امنیت سایبری هانترس (Huntress) نشان می‌دهد که بازیگران تهدید چینی‌زبان احتمالاً از فوریه ۲۰۲۴ این نقص‌ها را در حملات روز-صفر مورد استفاده قرار داده‌اند. اکنون مرکز CISA تأیید کرده است که CVE-2025-22225 در کارزارهای باج‌افزاری فعال نیز مشاهده شده است، هرچند جزئیات فنی بیشتری از این حملات منتشر نشده است.

این آسیب‌پذیری در فهرست Known Exploited Vulnerabilities قرار گرفته و CISA از تمامی سازمان‌ها، به‌ویژه نهادهای دولتی و اپراتورهای زیرساخت‌های حیاتی، خواسته است هرچه سریع‌تر وصله‌های امنیتی ارائه‌شده توسط برادکام را اعمال کنند یا در صورت نبود راهکار کاهش ریسک، استفاده از محصولات آسیب‌پذیر را متوقف سازند.

محصولات VMware به دلیل استفاده گسترده در دیتاسنترها و زیرساخت‌های سازمانی، همواره یکی از اهداف اصلی گروه‌های باج‌افزاری و مهاجمان با پشتوانه دولتی بوده‌اند. پیش‌تر نیز CISA نسبت به سوءاستفاده فعال از آسیب‌پذیری‌هایی در VMware Aria Operations و VMware vCenter Server هشدار داده بود.