روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در 4 مارس، Broadcom به‌روزرسانی‌های اضطراری را برای رفع سه آسیب‌پذیری CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226 که بر چندین محصول VMware از جمله ESXi، Workstation و Fusion تأثیر می‌گذارند منتشر کرد. گفته می‌شود حداقل یکی از این موارد - CVE-2025-22224- در حملات دنیای واقعی مورد سوء استفاده قرار گرفته است. این آسیب‌پذیری‌ها امکان فرار ماشین مجازی را فراهم می‌کند – مهاجمین را قادر می‌سازد تا کد را مستقیماً روی Hypervisor ESX اجرا کنند. اطلاعات موجود در GitHub VMware نشان می‌دهد مرکز اطلاعات تهدید مایکروسافت برای اولین بار این اکسپلویت را در محیط بیرون شناسایی کرد و به Broadcom اطلاع داد. هیچ یک از این شرکت‌ها نام مهاجم یا قربانی را اعلام نکرده‌اند.

Broadcom گزارش می‌دهد که آسیب‌پذیری‌ها بر VMware ESXi 7.0–8.0، Workstation 17.x، vSphere 6.5–8، Fusion 13.x، Cloud Foundation 4.5–5.x، Telco Cloud Platform 2.x–5.x و Telco Cloud Infrastructure 2.x–5.x تأثیر می‌گذارند. با این حال، برخی از کارشناسان می‌گویند طیف محصولات آلوده‌شده به طور بالقوه گسترده‌تر است. به طور خاص، نسخه‌های قدیمی ESXi، مانند 5.5، نیز باید آسیب‌پذیر باشند، اما این نسخه‌های پشتیبانی نشده پچ نمی‌شوند. بر اساس برخی ارزیابی‌ها، تا پایان هفته گذشته بیش از 41000 سرور ESXi در سراسر جهان (عمدتاً در چین، فرانسه، ایالات متحده، آلمان، ایران و برزیل) تحت الشعاع قرار گرفته‌اند.
VMware چه مسائلی را رفع کرده است؟
شدیدترین آسیب‌پذیری که CVE-2025-22224 است امتیاز CVSS 9.3 را دریافت کرد. این مربوط به "سرریز هیپ" در VMCI است و به مهاجمی با امتیازات اداری محلی در ماشین مجازی اجازه می دهد تا کد را به عنوان فرآیند VMX روی میزبان که هایپروایزر است اجرا کند.
آسیب‌پذیری CVE-2025-22225 در VMware ESXi (CVSS 8.2) به مهاجم اجازه می‌دهد تا نوشتار دلخواه هسته را اجرا کند که همچنین به معنای فرار از جعبه شنی یا سندباکس است. CVE-2025-22226 - که یک آسیب‌پذیری افشای اطلاعات HGFS (CVSS 7.1) است به مهاجمی با دسترسی ادمین VM مهمان، اجازه به استخراج محتوای حافظه پردازش VMX را می‌دهد. VMware ESXi، Workstation و Fusion تحت تاثیر این آسیب‌پذیری قرار دارند.
سناریوهای خطرناک اکسپلویت
توضیحات آسیب‌پذیری نشان می‌دهد که اکسپلویت، مستلزم آن است که مهاجم قبلاً ماشین مجازی را در معرض خطر قرار داده و دارای امتیازات ادمین بر روی آن باشد. این یک مانع ورود نسبتاً بالا به نظر می‌رسد، اما در واقعیت چنین سناریویی می‌تواند به راحتی تحقق یابد. خطر اصلی این آسیب‌پذیری‌ها این است که به شدت مراحلی را که یک مهاجم باید بردارد، از به خطر انداختن یک ماشین مجازی واحد تا به دست گرفتن کامل کنترل خوشه محاسباتی را کاهش می‌دهد. سه آسیب‌پذیری به مهاجم این امکان را می‌دهد تا بدون انجام اسکن‌های محیط شبکه پر سروصدا برای سرورها یا ناگزیر به دور زدن اقدامات امنیتی شبکه، به سطح هایپروایزر برسد. در زیر سناریوهای سازمانی معمولی وجود دارد که ممکن است این اتفاق بیفتد:

• ایستگاه‌های کاری VDI مبتنی بر VMware. کارمند با راه‌اندازی یک پیوست مخرب در ایستگاه کاری مجازی خود مرتکب اشتباه می‌شود. و به جای اینکه فقط یک ایستگاه کاری به خطر بیفتد، این منجر به رخدادی در مقیاس بزرگ می‌شود.
• کلودهای ترکیبی و خصوصی مبتنی بر VMware. به خطر انداختن موفقیت آمیز هر سرور از طریق یک آسیب‌پذیری برنامه در دسترس عموم به مهاجم اجازه می‌دهد تا به سرعت حمله را در کل شبکه منتشر کند.
• اجاره سرورهای مجازی و ایستگاه‌های کاری (VMهای از پیش ساخته شده) از MSP. خطای کلاینت که منجر به عفونت در یک میزبان اجاره‌ای شود، باعث به خطر افتادن همه مشتریان ارائه‌دهنده خدمات مدیریت‌شده (MSP) که منابع را در همان خوشه به اشتراک می‌گذارند، خواهد شد.
• برخی از ویژگی‌های خوشه‌های VMware پیچیدگی‌های بیشتری را در شناسایی و اصلاح چنین رخدادهایی  ایجاد می‌کنند. هنگامی که یک مهاجم سطح هایپروایزر را به خطر بیاندازد، به طور خودکار به تمام فضای ذخیره‌سازی متصل به خوشه دسترسی پیدا می‌کند. سپس مهاجم می‌تواند آزادانه در محیط VMware حرکت کند و فایل‌های پیکربندی موجود از هایپروایزر اجازه انجام شناسایی گسترده بدون افزایش هشدارهای امنیتی را می‌دهند.

• هایپروایزر فاقد یک عامل EDR است و ابزارهای امنیتی دید بسیار محدودی نسبت به آنچه در سطح خوشه اتفاق می‌افتد دارند. هکرها می‌توانند بدون اینکه تیم‌های امنیتی متوجه شوند، مخفیانه وارد اطلاعات مهم مانند پایگاه داده‌های Active Directory شوند. همه این عوامل، سه آسیب‌پذیری VMware را به معدن طلایی واقعی برای بازیگران مخرب - به‌ویژه گروه‌های باج‌افزار تبدیل می‌کند. آنها در گذشته بارها و بارها به محیط های ESXi حمله کرده اند: RansomExx، ESXiargs، Clop و غیره.

توصیه‌هایی برای امنیت سازمانی
خوشبختانه برای مشاغل، کد اثبات مفهوم PoC) ) برای اکسپلویت این آسیب پذیری‌ها هنوز منتشر نشده است، بنابراین اکسپلویت گسترده از این نقص آغاز نشده است. با این وجود، چنین کدهایی در هر لحظه ممکن است ظاهر شوند، بنابراین محصولات VMware باید به عنوان اولویت اصلی به‌سرعت به‌روزرسانی شوند. از آنجایی که وصله محیط های VMware می تواند پیچیده باشد، به خصوص در زیرساخت های با دسترسی بالا، سازمان ها باید از ابزارهایی مانند vMotion برای استقرار پچ‌ها بدون توقف استفاده کنند.

پچ کردن تنها راه کاهش این آسیب‌پذیری‌ها است. با این حال، Broadcom همچنین توصیه می کند تنظیمات خود را مطابق با راهنمای پیکربندی و سخت شدن امنیت vSphere بررسی کنید. در میان چیزهای دیگر، باید اطمینان حاصل کنید زیرساخت VMware شما به درستی بخش بندی شده است تا دسترسی به شبکه مدیریت هایپروایزر را محدود کند. مطمئن شوید از ابزارهای امنیت کلود استفاده کنید، از جمله اینکه یک عامل EDR به درستی نصب شده و در ماشین‌های مجازی خود اجرا شود. این امکان شناسایی و پیشگیری از مرحله آلودگی اولیه را فراهم می‌کند - مهاجمین را از دستیابی به دسترسی اداری مورد نیاز برای سوء استفاده از آسیب‌پذیری‌ها مسدود می‌کند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.