الصفحات
استغلال ثغرات VMware ESXi قبل الكشف عنها بسنة
الأمن السيبراني #VMware_ESXi #SonicWall_VPN

استغلال ثغرات VMware ESXi قبل الكشف عنها بسنة

منذ 23 ساعة 6 مشاهدة 0 تعليق 1 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
6 مشاهدة
0 إعجاب
234 تعليق
موثوق 95%

في عالم الأمن السيبراني، تعتبر الثغرات الأمنية من أخطر التهديدات التي تواجه المؤسسات. في هذا المقال، نستعرض كيف تم استغلال ثغرات VMware ESXi قبل الكشف عنها بعام.

VMware ESXi zero-days likely exploited a year before disclosure
VMware ESXi zero-days likely exploited a year before disclosure

استغلال ثغرات VMware ESXi

استخدم المهاجمون الناطقون بالصينية جهاز SonicWall VPN المخترق لتسليم مجموعة أدوات استغلال VMware ESXi، والتي يبدو أنها تم تطويرها قبل أكثر من عام من معرفتها علنًا.

في الهجمات التي حدثت في ديسمبر 2025، استخدم القراصنة تقنية متقدمة للهروب من الآلة الافتراضية، والتي استغلت ثلاث ثغرات في VMware تم الكشف عنها كأخطاء صفراء في مارس 2025.

  • CVE-2025-22226 (7.1 severity score): قراءة خارج الحدود في HGFS تسمح بتسريب الذاكرة من عملية VMX.
  • CVE-2025-22224 (9.3 severity score): ثغرة TOCTOU في واجهة اتصالات الآلة الافتراضية (VMCI) تؤدي إلى كتابة خارج الحدود، مما يسمح بتنفيذ التعليمات البرمجية كعملية VMX.
  • CVE-2025-22225 (8.2 severity score): ثغرة كتابة تعسفية في ESXi تسمح بالهروب من صندوق الرمل VMX إلى النواة.

في وقت الكشف، حذرت Broadcom من أن القضايا الأمنية يمكن أن تتسلسل بواسطة المهاجمين الذين لديهم صلاحيات المسؤول للهروب من الآلة الافتراضية والوصول إلى الهيبرفايزر الأساسي.

MAESTRO
MAESTRO

تقرير Huntress

يوفر تقرير جديد من Huntress أدلة تشير إلى أن الثغرات قد تم تسلسلها إلى استغلال منذ فبراير 2024. وجد الباحثون في مسارات PDB الخاصة بالثغرات مجلدًا يحمل اسم "2024_02_19"، مما يشير إلى أن الحزمة تم تطويرها كاستغلال محتمل.

تقييم Huntress يشير إلى أن الوصول الأولي جاء من خلال SonicWall VPN المخترق. استخدم المهاجم حساب مسؤول مجال مخترق للتنقل عبر RDP إلى وحدات التحكم في المجال، وتجميع البيانات للتسريب، وتشغيل سلسلة استغلال تكسر من VM الضيف إلى الهيبرفايزر ESXi.

تضمنت مجموعة أدوات الاستغلال العناصر التالية:

  • MAESTRO (exploit.exe) – ينسق الهروب من VM عن طريق تعطيل أجهزة VMware VMCI، وتحميل برنامج التشغيل غير الموقّع عبر KDU، ومراقبة نجاح الاستغلال.
  • MyDriver.sys – برنامج تشغيل نواة غير موقّع ينفذ الهروب من VM، بما في ذلك اكتشاف إصدار ESXi وتسريب الذاكرة.
  • VSOCKpuppet – باب خلفي ELF يعمل على مضيف ESXi يوفر تنفيذ الأوامر ونقل الملفات.
  • GetShell Plugin (client.exe) – عميل VSOCK Windows يستخدم للاتصال من VM الضيف إلى مضيف ESXi المخترق.

خاتمة

توصي Huntress بأن تطبق المؤسسات أحدث تحديثات الأمان لـ ESXi وتستخدم قواعد YARA وSigma المقدمة للكشف المبكر عن التهديدات.

##VMware_ESXi ##SonicWall_VPN ##الأمن_السيبراني

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!