Lỗ hổng nghiêm trọng trong VMware ESXi và Workstation


Năm 2025 chứng kiến một loạt lỗ hổng nghiêm trọng trong các sản phẩm VMware như ESXi, Workstation, Fusion và VMware Tools, với mục tiêu chính là thực thi mã tùy ý trên hệ thống vật chủ. Dưới đây là tổng hợp chi tiết các lỗ hổng, đánh giá mức độ nguy hiểm cùng biện pháp khắc phục cần triển khai ngay.
Tổng quan
Phát hiện các lỗ hổng bảo mật nghiêm trọng trong các sản phẩm ảo hóa của VMware, bao gồm ESXi, Workstation, Fusion và VMware Tools. Những lỗ hổng này có thể bị khai thác để thực thi mã từ máy ảo (guest) ra máy chủ vật lý (host) — một trong những kịch bản nguy hiểm nhất trong môi trường hạ tầng ảo hóa.
Nếu bị khai thác thành công, kẻ tấn công có thể:
Thoát khỏi VM để kiểm soát máy chủ ESXi hoặc Workstation host.
Đọc thông tin nhạy cảm từ bộ nhớ hệ thống.
Làm gián đoạn toàn bộ hệ thống ảo hóa doanh nghiệp.
Đây là các lỗ hổng kiểu “Virtual Machine Escape” — vốn hiếm gặp và có ảnh hưởng nghiêm trọng đến toàn bộ kiến trúc bảo mật.
Chi tiết kỹ thuật
Dưới đây là các lỗ hổng đã được VMware công bố chính thức và đánh giá theo tiêu chuẩn CVSS v3.1:
1. CVE-2025-41236 – Integer Overflow trong VMXNET3 Virtual Device
CVSS: 9.3 (Critical)
Ảnh hưởng: ESXi 7.0/8.0, Workstation 17.x, Fusion 13.x
Khai thác: Kẻ tấn công có quyền root/administrator trong VM có thể thực thi mã trên máy chủ vật lý qua lỗi tràn số nguyên trong thiết bị mạng ảo VMXNET3.
MITRE ATT&CK: Likely T1055 (Process Injection) và T1068 (Privilege Escalation via Exploitable Vulnerability).
2. CVE-2025-41237 – Integer Underflow trong VMCI
CVSS: 9.3 (Workstation/Fusion), 8.4 (ESXi)
Ảnh hưởng: Tất cả nền tảng
Chi tiết: Lỗi số âm cho phép ghi dữ liệu vượt giới hạn bộ nhớ, dẫn đến thực thi mã từ VM.
Tác động: Nguy cơ đặc biệt cao trên các máy tính dùng Workstation để phát triển hoặc kiểm thử phần mềm.
3. CVE-2025-41238 – Heap Overflow trong thiết bị PVSCSI
CVSS: 9.3 (Workstation/Fusion), 7.4 (ESXi)
Chi tiết: Lỗi tràn bộ nhớ heap thông qua ổ đĩa ảo SCSI (Paravirtualized SCSI). Kẻ tấn công có thể thực thi mã với quyền cao nhất trên host.
4. CVE-2025-41239 – Uninitialized Memory Disclosure trong vSockets
CVSS: 7.1 (ESXi/Workstation/Fusion), 6.2 (VMware Tools)
Chi tiết: Lỗ hổng khiến thông tin từ vùng nhớ chưa được khởi tạo bị rò rỉ sang guest OS, cho phép lộ lọt dữ liệu.
Sản phẩm bị ảnh hưởng và bản vá khắc phục
Sản phẩm | Phiên bản bị ảnh hưởng |
VMware ESXi | 7.x, 8.x |
VMware Workstation | 17.x |
VMware Fusion | 13.x |
VMware Tools | 12.x và thấp hơn |
Lưu ý: Các sản phẩm tích hợp như VMware Cloud Foundation hoặc Telco Cloud Platform cũng có thể chịu ảnh hưởng nếu sử dụng thành phần ESXi chưa vá.
CVE | Sản phẩm bị ảnh hưởng | Phiên bản bị ảnh hưởng | Phiên bản đã vá |
CVE-2025-41236 | ESXi, Workstation, Fusion | ESXi 7.x/8.x, Workstation 17.x, Fusion 13.x | ESXi 8.0 U3f (Build 24784735) ESXi 7.0 U3w (Build 24784741) Workstation 17.6.4 Fusion 13.6.4 |
CVE-2025-41237 | ESXi, Workstation, Fusion | Tương tự trên | Như trên (đã vá trong bản cập nhật tháng 7/2025) |
CVE-2025-41238 | ESXi, Workstation, Fusion | Tương tự trên | Như trên |
CVE-2025-41239 | ESXi, Workstation, Fusion, VMware Tools (Windows/Linux) | VMware Tools 12.x và thấp hơn | VMware Tools: 13.0.1 (Windows) 13.3.2 / 12.4.1 (Linux) |
Khuyến nghị
VMware và Broadcom đã phát hành bản vá đầy đủ. Để đảm bảo an toàn, chuyên gia an ninh mạng khuyến cáo:
Cập nhật ngay lập tức:
ESXi 8.0: cập nhật lên build
U3f-24784735
ESXi 7.0: cập nhật lên
U3w-24784741
Workstation Pro: cập nhật lên 17.6.4
Fusion: cập nhật lên 13.6.4
VMware Tools (Windows): cập nhật lên 13.0.1.0
Thực thi thêm các biện pháp bổ sung:
Tách biệt mạng (Network Segmentation) giữa VM và hệ thống quản trị.
Bật giám sát hành vi hệ thống (behavioral monitoring) với EDR/HIDS.
Thiết lập kiểm soát truy cập chặt chẽ vào VM có quyền root/administrator.
Theo dõi log bất thường từ vmx hoặc VMCI (Syslog hoặc SIEM).
Nguồn tham khảo
🔗 VMware Advisory – VMSA-2025-0016
🔗 CyberSecurityNews – Blog
🔗 MITRE CVE List
🔗 CISA – Vulnerability Bulletin
Lời kết
Các tổ chức sử dụng hạ tầng VMware cần khẩn trương đánh giá và triển khai bản vá để tránh trở thành mục tiêu tiếp theo trong chuỗi tấn công có chủ đích (APT). Những lỗ hổng cho phép vượt thoát máy ảo đang được các nhóm tấn công tinh vi (APT) đặc biệt chú ý vì tiềm năng truy cập sâu vào hệ thống trung tâm mà không cần khai thác phía ngoài.
Đây là thời điểm then chốt để kiểm tra lại toàn bộ chính sách vá lỗi, mô hình phân vùng bảo mật, và công cụ giám sát đang sử dụng.
Subscribe to my newsletter
Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
