Chiến dịch tấn công nguy hiểm nhắm vào máy chủ VMware nhằm chiếm đoạt quyền điều khiển và thực thi mã từ xa
Tổng quan
Theo báo cáo mới nhất vào tháng 03 năm 2025 của Sygnia, một công ty an ninh mạng, đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong VMware vCenter Server, cho phép tin tặc thực thi mã từ xa thông qua web shell và triển khai ransomware. Lỗ hổng này xuất phát từ việc thiếu kiểm tra đầu vào trong các tệp cấu hình, dẫn đến việc thực thi mã độc hại. Tin tặc có thể lợi dụng lỗ hổng này để truy cập và kiểm soát hệ thống, sau đó triển khai ransomware, mã hóa dữ liệu và yêu cầu tiền chuộc.
Chuỗi ba lỗ hổng được công bố lần lượt là: CVE-2025-22224, CVE-2025-22225 và CVE-2025-22226 ảnh hưởng đến hầu hết các phiên bản của VMware. Các lỗ hổng này đã được khai thác trong thực tế trước khi công bố và đã được thêm vào danh sách các lỗ hổng đã biết bị khai thác của CISA.
Phiên bản bị ảnh hưởng
VMware ESXi:
CVE-2025-22224 và CVE-2025-22225 ảnh hưởng đến các phiên bản ESXi 6.7, 7.0 và 8.0.
CVE-2025-22226 ảnh hưởng đến các phiên bản ESXi 7.0 và 8.0.
VMware Workstation:
- CVE-2025-22224 và CVE-2025-22226 ảnh hưởng đến VMware Workstation phiên bản 17.x.
VMware Fusion:
- CVE-2025-22226 ảnh hưởng đến VMware Fusion phiên bản 13.x.
Mô tả lỗ hổng
CVE-2025-22224
Định danh lỗ hổng: CVE-2025-22224
Mức độ nghiêm trọng: Critical
Điểm CVSS: 9.3
Mô tả: Lỗ hổng này liên quan đến điều kiện đua TOCTOU (Time-of-Check Time-of-Use), dẫn đến ghi ngoài giới hạn bộ nhớ.
CVE-2025-22225
Định danh lỗ hổng: CVE-2025-22225
Mức độ nghiêm trọng: Critical
Điểm CVSS: 8.2
Mô tả: Lỗ hổng này cho phép kẻ tấn công có quyền trong tiến trình VMX thực hiện ghi tùy ý vào kernel, dẫn đến khả năng thoát khỏi sandbox.
CVE-2025-22226
Định danh lỗ hổng: CVE-2025-22226
Mức độ nghiêm trọng: High
Điểm CVSS: 7.1
Mô tả: Lỗ hổng này xuất phát từ việc đọc ngoài giới hạn trong thành phần HGFS (Host Guest File System), cho phép kẻ tấn công có quyền quản trị trên máy ảo khai thác để rò rỉ bộ nhớ từ tiến trình VMX.
Chi tiết chiến dịch tấn công
Cuộc tấn công theo vector "Web Shell to Ransomware" trên nền tảng VMware là một phương pháp khai thác nguy hiểm mà tin tặc sử dụng để triển khai ransomware trên các hệ thống ảo hóa. Đây là một cách tiếp cận tinh vi, tận dụng các lỗ hổng bảo mật trong máy chủ VMware để thực thi mã độc hại. Trong chiến dịch lần này kẻ tấn công sẽ thực hiện khai thác qua bốn bước chính
Bước 1: Xâm nhập hệ thống bằng Web Shell
Tin tặc sẽ thực hiện khai thác lỗ hổng bảo mật bằng cách dò quét mạng của công ty, tổ chức mà chúng nhắm tới hoặc sử dụng thông tin đăng nhập bị đánh cắp để cài đặt web shell trên máy chủ VMware ESXi hoặc vCenter.
Sau khi đã tiến hành khai thác và dò quét hệ thống của nạn nhân, những kẻ tấn công sẽ sử dụng một số phương thức phổ biến để tiến hành cài đặt web shell:
Lợi dụng lỗ hổng RCE (Remote Code Execution): Tin tặc khai thác lỗ hổng chưa được vá trên VMware vCenter Server hoặc ESXi.
Brute force hoặc đánh cắp thông tin đăng nhập: Nếu hệ thống không sử dụng xác thực mạnh, tin tặc có thể đoán hoặc thu thập thông tin đăng nhập từ các vụ rò rỉ dữ liệu.
Bước 2: Chiếm quyền kiểm soát máy chủ VMware
Sau khi đã xâm nhập được ban đầu vào hệ thống máy chủ VMware, kẻ tấn công sẽ áp dụng chuỗi ba lỗ hổng CVE-2025-22224, CVE-2025-22225 và CVE-2025-22226 để tiến hành khai thác.
Đầu tiên kỹ thuật Escaping the Virtual Machine (thoát khỏi máy ảo) sẽ được thực hiện. Đây là một kỹ thuật tấn công mạng trong đó kẻ tấn công khai thác lỗ hổng để thoát ra khỏi môi trường máy ảo (VM) và chiếm quyền kiểm soát hệ thống máy chủ vật lý (host). Để thực hiện kỹ thuật này thì lỗ hổng CVE-2025-22224 sẽ được tích cực khai thác.
Để thực hiện được, kẻ tấn công cần có quyền quản trị cục bộ trên máy ảo để khai thác lỗ hổng này. Lỗ hổng này thuộc loại TOCTOU (Time-of-Check Time-of-Use), xảy ra khi có sự chênh lệch thời gian giữa việc kiểm tra trạng thái và việc sử dụng tài nguyên, dẫn đến lỗi ghi ngoài vùng nhớ.
Bằng cách khai thác lỗi ghi ngoài vùng nhớ, kẻ tấn công có thể thực thi mã độc với quyền hạn của tiến trình VMX trên máy chủ vật lý, dẫn đến việc thoát khỏi môi trường máy ảo và kiểm soát hệ thống máy chủ.
Sau đó lỗ hổng bảo mật CVE-2025-22225 cũng sẽ được thực thi
Lỗ hổng này cho phép kẻ tấn công thực hiện ghi tùy ý vào kernel thông qua tiến trình VMX. Bằng cách lợi dụng điểm yếu này, kẻ tấn công có thể ghi dữ liệu độc hại vào các vị trí nhớ quan trọng trong kernel, thay đổi hành vi của hệ thống theo ý muốn.
Với khả năng ghi tùy ý vào kernel, kẻ tấn công có thể thực hiện các thao tác nhằm thoát khỏi môi trường sandbox, từ đó chiếm quyền kiểm soát hệ thống máy chủ vật lý, gây ra các mối đe dọa nghiêm trọng đến an ninh của toàn bộ hệ thống.
Cuối cùng trong chuỗi tấn công lỗ hổng CVE-2025-22226 sẽ được thực thi. Lỗ hổng này xuất phát từ việc đọc ngoài vùng nhớ (out-of-bounds read) trong hệ thống tệp HGFS, dẫn đến rò rỉ thông tin nhạy cảm từ tiến trình VMX.
HGFS (Host-Guest File System) là hệ thống tệp chia sẻ giữa máy chủ và máy ảo. Lỗ hổng này cho phép kẻ tấn công thực hiện các thao tác đọc ngoài vùng nhớ dự kiến, dẫn đến việc truy xuất dữ liệu không mong muốn.
Bằng cách khai thác lỗi này, kẻ tấn công có thể truy cập và đọc các vùng nhớ nhạy cảm trong tiến trình VMX, tiềm ẩn nguy cơ rò rỉ thông tin quan trọng của hệ thống.
Bước 3: Triển khai Ransomware lên các máy ảo
Sau khi đã có thể leo thang đặc quyền lên VMware ESXi, những kẻ tấn công sẽ bắt đầu thực hiện triển khai ransomware trên diện rộng
Với quyền kiểm soát hypervisor, kẻ tấn công có khả năng triển khai ransomware trên tất cả các máy ảo được quản lý bởi ESXi, dẫn đến việc mã hóa dữ liệu trên quy mô lớn và gây gián đoạn nghiêm trọng cho hoạt động của tổ chức.
Ảnh hưởng chi tiết
Phương thức tấn công "Từ Web Shell đến Ransomware" khai thác các lỗ hổng trong VMware ESXi, đặc biệt là CVE-2024-37085, đã gây ra những ảnh hưởng nghiêm trọng đến các tổ chức và doanh nghiệp.
Mã hóa và gián đoạn hoạt động:
- Kẻ tấn công sử dụng lỗ hổng để triển khai ransomware, mã hóa các máy ảo và gây gián đoạn nghiêm trọng đến hoạt động kinh doanh.
Rò rỉ và mất mát dữ liệu:
- Ngoài việc mã hóa, kẻ tấn công có thể truy cập và đánh cắp dữ liệu nhạy cảm từ các máy ảo, dẫn đến mất mát thông tin quan trọng và vi phạm quyền riêng tư.
Tăng chi phí và thời gian khôi phục:
- Các tổ chức phải đối mặt với chi phí cao và thời gian dài để khôi phục hệ thống sau các cuộc tấn công này, ảnh hưởng đến uy tín và hoạt động kinh doanh.
Khuyến nghị
Cập nhật và vá lỗi ngay lập tức
- VMware đã phát hành các bản vá để khắc phục các lỗ hổng này. Người dùng cần cập nhật ESXi, Workstation và Fusion lên phiên bản mới nhất.
Hạn chế quyền truy cập và bảo vệ máy chủ
Tắt SSH nếu không cần thiết: Giảm nguy cơ bị khai thác từ xa.
Sử dụng Firewall để giới hạn quyền truy cập vào máy chủ ESXi chỉ từ các IP đáng tin cậy.
Vô hiệu hóa dịch vụ ESXi Shell & SSH nếu không sử dụng.
Không cấp quyền root hoặc quyền quản trị cao hơn mức cần thiết cho người dùng.
Hạn chế tấn công Web Shell
Cập nhật phần mềm web server (Apache, Nginx, IIS, v.v.) để tránh bị tấn công.
Chặn tải lên tệp lạ có thể chứa mã độc.
Sử dụng WAF (Web Application Firewall) để lọc lưu lượng độc hại.
Vô hiệu hóa tính năng không cần thiết
Nếu HGFS (Host-Guest File Sharing) không cần thiết, hãy vô hiệu hóa nó để giảm thiểu nguy cơ bị khai thác CVE-2025-22226.
Kiểm tra cài đặt bảo mật trên các máy ảo và vô hiệu hóa các dịch vụ không cần thiết.
Kết luận
"Web Shell to Ransomware" là một trong những mối đe dọa lớn nhất đối với hệ thống VMware ESXi vì nó không chỉ khai thác lỗ hổng bảo mật để giành quyền kiểm soát hệ thống mà còn có thể mã hóa toàn bộ máy ảo, gây gián đoạn nghiêm trọng cho doanh nghiệp. Việc cập nhật phần mềm, giám sát hệ thống và sao lưu dữ liệu là ba yếu tố quan trọng giúp bảo vệ hệ thống trước các cuộc tấn công này. Việc bảo vệ hệ thống trước các mối đe dọa ransomware không chỉ giúp tránh tổn thất tài chính mà còn duy trì sự ổn định và uy tín của tổ chức.
