VMware 제품군 제로데이 취약점(CVE-2025-22224~22226) 긴급 보안 권고

VMware Security Flaws Exploited in the Wild—Broadcom Releases Urgent Patches

 

CVE-2025-22224, CVE-2025-22225, CVE-2025-22226: Zero-Day Vulnerabilities in VMware ESXi, Workstation and Fusion Exploited

CVE-2025-22224, CVE-2025-22225, CVE-2025-22226: Zero-Day Vulnerabilities in VMware ESXi, Workstation and Fusion Exploited

 

Unknown attackers exploit VMware hypervisor-hijack holes

Unknown attackers exploit VMware hypervisor-hijack holes

 

• 개요
  • VMware ESXi, Workstation, Fusion 등에서 발견된 3건의 보안 취약점이 실제 공격에 악용됨
  • 발견된 취약점은 모두 로컬 관리자 권한이 있는 공격자가 게스트 OS에서 호스트 하이퍼바이저로 침투 가능한 구조
  • 해당 취약점은 Broadcom이 2025년 3월 4일 보안 권고문(VMSA-2025-0004)을 통해 공식 발표
• 주요 취약점 정보
  • CVE-2025-22224 (CVSS 9.3): TOCTOU(Time-of-Check Time-of-Use) 기반 힙 오버플로우(Heap Overflow)로 인한 임의 코드 실행
    • 공격자는 게스트 VM에서 호스트의 VMX 프로세스를 대상으로 임의 코드 실행 가능
  • CVE-2025-22225 (CVSS 8.2): 임의 쓰기(Arbitrary Write) 취약점
    • VMX 프로세스 내 권한을 통해 샌드박스 탈출 후 커널 접근 가능
  • CVE-2025-22226 (CVSS 7.1): 정보 유출(Information Disclosure) 취약점
    • VMX 프로세스의 메모리 내용을 공격자가 유출 가능
• 영향 받는 제품 및 조치 사항
  • ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300으로 업데이트
  • ESXi 7.0: ESXi70U3s-24585291로 업데이트
  • ESXi 6.7: ESXi670-202503001로 업데이트 (업데이트 정보 3월 4일 추가)
  • Workstation 17.x: 17.6.3
  • Fusion 13.x: 13.6.3
  • Cloud Foundation 4.x~5.x: 비동기 패치로 해당 ESXi 버전 업데이트 필요
  • Telco Cloud Platform & Infrastructure: 관련 버전별 ESXi 패치 적용 필요
• 보안 위협
  • 공격자는 VM 내 권한을 획득한 후 하이퍼바이저 수준으로 수직 상승(Escalation) 가능
  • 이론상 게스트 VM에서 호스트 전체 제어가 가능하므로 클라우드 서비스 제공자, 가상화 인프라 운영기관에 심각한 위협
  • 공격은 실제 관찰되었으며, 미국 사이버안보청(CISA)는 3건 모두 Known Exploited Vulnerabilities(KEV) 목록에 추가
  • 최근 랜섬웨어 그룹(Helldown, Black Basta, Medusa 등)이 VMware 취약점을 지속적으로 악용 중
• 보안 권고
  • 영향받는 VMware 제품 사용자 즉시 보안 패치 적용 필수
  • 고객이 직접 VM을 운영하거나 BYOD 환경에서 게스트 권한 상승 가능성 주의
  • 하이퍼바이저 수준의 보안 모니터링 강화 및 로그 상시 점검 필요
  • VM 내 관리자 권한 보호를 위한 ID 관리(MFA 포함), 사용자 제한, 분리된 네트워크 구조 적용 권장
  • PoC(개념 증명)는 아직 공개되지 않았지만, 추후 공개될 경우 대규모 악용 가능성 높음