Lỗ hổng nghiêm trọng trong VMware ESXi và Workstation

Năm 2025 chứng kiến một loạt lỗ hổng nghiêm trọng trong các sản phẩm VMware như ESXi, Workstation, Fusion và VMware Tools, với mục tiêu chính là thực thi mã tùy ý trên hệ thống vật chủ. Dưới đây là tổng hợp chi tiết các lỗ hổng, đánh giá mức độ nguy hiểm cùng biện pháp khắc phục cần triển khai ngay.

Tổng quan

Phát hiện các lỗ hổng bảo mật nghiêm trọng trong các sản phẩm ảo hóa của VMware, bao gồm ESXi, Workstation, Fusion và VMware Tools. Những lỗ hổng này có thể bị khai thác để thực thi mã từ máy ảo (guest) ra máy chủ vật lý (host) — một trong những kịch bản nguy hiểm nhất trong môi trường hạ tầng ảo hóa.

Nếu bị khai thác thành công, kẻ tấn công có thể:

• Thoát khỏi VM để kiểm soát máy chủ ESXi hoặc Workstation host.

• Đọc thông tin nhạy cảm từ bộ nhớ hệ thống.

• Làm gián đoạn toàn bộ hệ thống ảo hóa doanh nghiệp.

Đây là các lỗ hổng kiểu “Virtual Machine Escape” — vốn hiếm gặp và có ảnh hưởng nghiêm trọng đến toàn bộ kiến trúc bảo mật.

---

Chi tiết kỹ thuật

Dưới đây là các lỗ hổng đã được VMware công bố chính thức và đánh giá theo tiêu chuẩn CVSS v3.1:

1. CVE-2025-41236 – Integer Overflow trong VMXNET3 Virtual Device

• CVSS: 9.3 (Critical)

• Ảnh hưởng: ESXi 7.0/8.0, Workstation 17.x, Fusion 13.x

• Khai thác: Kẻ tấn công có quyền root/administrator trong VM có thể thực thi mã trên máy chủ vật lý qua lỗi tràn số nguyên trong thiết bị mạng ảo VMXNET3.

• MITRE ATT&CK: Likely T1055 (Process Injection) và T1068 (Privilege Escalation via Exploitable Vulnerability).

---

2. CVE-2025-41237 – Integer Underflow trong VMCI

• CVSS: 9.3 (Workstation/Fusion), 8.4 (ESXi)

• Ảnh hưởng: Tất cả nền tảng

• Chi tiết: Lỗi số âm cho phép ghi dữ liệu vượt giới hạn bộ nhớ, dẫn đến thực thi mã từ VM.

• Tác động: Nguy cơ đặc biệt cao trên các máy tính dùng Workstation để phát triển hoặc kiểm thử phần mềm.

---

3. CVE-2025-41238 – Heap Overflow trong thiết bị PVSCSI

• CVSS: 9.3 (Workstation/Fusion), 7.4 (ESXi)

• Chi tiết: Lỗi tràn bộ nhớ heap thông qua ổ đĩa ảo SCSI (Paravirtualized SCSI). Kẻ tấn công có thể thực thi mã với quyền cao nhất trên host.

---

4. CVE-2025-41239 – Uninitialized Memory Disclosure trong vSockets

• CVSS: 7.1 (ESXi/Workstation/Fusion), 6.2 (VMware Tools)

• Chi tiết: Lỗ hổng khiến thông tin từ vùng nhớ chưa được khởi tạo bị rò rỉ sang guest OS, cho phép lộ lọt dữ liệu.

---

Sản phẩm bị ảnh hưởng và bản vá khắc phục

Lưu ý: Các sản phẩm tích hợp như VMware Cloud Foundation hoặc Telco Cloud Platform cũng có thể chịu ảnh hưởng nếu sử dụng thành phần ESXi chưa vá.

---

Khuyến nghị

VMware và Broadcom đã phát hành bản vá đầy đủ. Để đảm bảo an toàn, chuyên gia an ninh mạng khuyến cáo:

Cập nhật ngay lập tức:

• ESXi 8.0: cập nhật lên build U3f-24784735

• ESXi 7.0: cập nhật lên U3w-24784741

• Workstation Pro: cập nhật lên 17.6.4

• Fusion: cập nhật lên 13.6.4

• VMware Tools (Windows): cập nhật lên 13.0.1.0

Thực thi thêm các biện pháp bổ sung:

• Tách biệt mạng (Network Segmentation) giữa VM và hệ thống quản trị.

• Bật giám sát hành vi hệ thống (behavioral monitoring) với EDR/HIDS.

• Thiết lập kiểm soát truy cập chặt chẽ vào VM có quyền root/administrator.

• Theo dõi log bất thường từ vmx hoặc VMCI (Syslog hoặc SIEM).

---

Nguồn tham khảo

• 🔗 VMware Advisory – VMSA-2025-0016

• 🔗 CyberSecurityNews – Blog

• 🔗 MITRE CVE List

• 🔗 CISA – Vulnerability Bulletin

---

Lời kết

Các tổ chức sử dụng hạ tầng VMware cần khẩn trương đánh giá và triển khai bản vá để tránh trở thành mục tiêu tiếp theo trong chuỗi tấn công có chủ đích (APT). Những lỗ hổng cho phép vượt thoát máy ảo đang được các nhóm tấn công tinh vi (APT) đặc biệt chú ý vì tiềm năng truy cập sâu vào hệ thống trung tâm mà không cần khai thác phía ngoài.

Đây là thời điểm then chốt để kiểm tra lại toàn bộ chính sách vá lỗi, mô hình phân vùng bảo mật, và công cụ giám sát đang sử dụng.