آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) هشدار داده که یک آسیبپذیری با شدت بالا در VMware ESXi اکنون بهطور فعال در حملات باجافزاری مورد سوءاستفاده قرار میگیرد. این نقص امنیتی که با شناسه CVE-2025-22225 شناخته میشود، پیشتر بهعنوان یک آسیبپذیری روز-صفر شناسایی شده بود.
بر اساس گزارش CISA، مهاجمان با در اختیار داشتن سطح دسترسی در فرایند VMX میتوانند عملیات «نوشتن دلخواه در هسته» را اجرا کرده و از محیط ایزوله (Sandbox) ماشین مجازی خارج شوند؛ موضوعی که میتواند کنترل کامل میزبان ESXi را در اختیار مهاجم قرار دهد.
شرکت برادکام (Broadcom) در مارس ۲۰۲۵ این آسیبپذیری را بههمراه دو نقص امنیتی دیگر شامل یک نشت حافظه (با شناسه CVE-2025-22226) و یک ضعف از نوع TOCTOU (با شناسه CVE-2025-22224) وصله کرد. به گفته این شرکت، مهاجمان دارای دسترسی مدیریتی یا root قادر هستند این سه آسیبپذیری را بهصورت زنجیرهای مورد سوءاستفاده قرار دهند.
تحقیقات شرکت امنیت سایبری هانترس (Huntress) نشان میدهد که بازیگران تهدید چینیزبان احتمالاً از فوریه ۲۰۲۴ این نقصها را در حملات روز-صفر مورد استفاده قرار دادهاند. اکنون مرکز CISA تأیید کرده است که CVE-2025-22225 در کارزارهای باجافزاری فعال نیز مشاهده شده است، هرچند جزئیات فنی بیشتری از این حملات منتشر نشده است.
این آسیبپذیری در فهرست Known Exploited Vulnerabilities قرار گرفته و CISA از تمامی سازمانها، بهویژه نهادهای دولتی و اپراتورهای زیرساختهای حیاتی، خواسته است هرچه سریعتر وصلههای امنیتی ارائهشده توسط برادکام را اعمال کنند یا در صورت نبود راهکار کاهش ریسک، استفاده از محصولات آسیبپذیر را متوقف سازند.
محصولات VMware به دلیل استفاده گسترده در دیتاسنترها و زیرساختهای سازمانی، همواره یکی از اهداف اصلی گروههای باجافزاری و مهاجمان با پشتوانه دولتی بودهاند. پیشتر نیز CISA نسبت به سوءاستفاده فعال از آسیبپذیریهایی در VMware Aria Operations و VMware vCenter Server هشدار داده بود.