אושרי פנחס

עקבו אחריי בלינקדאין

עצרו הכל: קבוצות כופרה מנצלות עכשיו חולשת ESXi קריטית (CVE-2025-22225) – בדקו אם אתם חשופים

תמונת פרופיל של OSHRI.PINHAS
OSHRI.PINHAS
עצרו הכל: קבוצות כופרה מנצלות עכשיו חולשת ESXi קריטית (CVE-2025-22225) – בדקו אם אתם חשופים

אם יש לכם שרתי VMware ESXi בארגון (ולמי אין?), הפוסט הזה הוא לא המלצה – הוא חובת קריאה. אחד הנושאים הבוערים כעת הוא חולשת CVE-2025-22225 VMware ESXi שמעסיקה מומחי אבטחה בכל העולם. אנחנו רגילים לשמוע על חולשות כל שני וחמישי, אבל הדיווחים האחרונים של ה-CISA ומומחי אבטחה מראים שקבוצות כופרה (Ransomware) לא מחכות. הן מנצלות באופן אקטיבי חולשה קריטית שמאפשרת להן “לברוח” מהמכונה הווירטואלית ולהשתלט על השרת הפיזי כולו. במקרה של VMware ESXi, מדובר באיום משמעותי שמצריך התייחסות מיידית.

במילים פשוטות: אם האקר מצליח להיכנס לשרת וירטואלי זניח אצלכם ברשת, הוא יכול להשתמש בחולשה הזו כדי להצפין את כל השרתים הווירטואליים שיושבים על אותו ESXi Host.

אילוסטרציה של חולשת אבטחה בשרת וירטואלי: דמות האקר פורצת את גבולות ה-Sandbox של מכונה וירטואלית ומשיגה גישה לליבת השרת הפיזי (ESXi Kernel), על רקע אדום מהבהב של התראת אבטחה CVE-2025-22225.
אילוסטרציה של חולשת אבטחה בשרת וירטואלי: דמות האקר פורצת את גבולות ה-Sandbox של מכונה וירטואלית ומשיגה גישה לליבת השרת הפיזי (ESXi Kernel), על רקע אדום מהבהב של התראת אבטחה CVE-2025-22225.

הצלילה הטכנית: מה קורה שם? (CVE-2025-22225)

מדובר בחולשת Sandbox Escape מסוג Arbitrary Kernel Write, שקיבלה ציון CVSS של 8.2 (High). הבעיה נמצאת בתהליך ה-VMX (התהליך שמריץ את המכונה הווירטואלית). בעקבות CVE-2025-22225 VMware ESXi , ולידציה לקויה של זיכרון מאפשרת לתוקף עם הרשאות לכתוב מידע לתוך Kernel של Hypervisor (המארח).

המשמעות ההרסנית: ברגע שהתוקף כותב ל-Kernel של ה-ESXi, הוא שובר את הבידוד (Sandbox). הוא הופך מאדמין של שרת וירטואלי בודד ל-Root של הברזל עצמו. מכאן הדרך להצפנת כל ה-Datastores היא קצרה מאוד.

חוקרים זיהו שקבוצות כופרה משלבות את החולשה הזו יחד עם חולשות נוספות (כמו CVE-2025-22224) כדי להריץ קוד זדוני ולעקוף מנגנוני הגנה. במקרים כאלו, CVE-2025-22225 VMware ESXi מהווה גורם מרכזי בתהליך התקיפה.

מי נמצא בסיכון?

החולשה משפיעה על הגרסאות הנפוצות ביותר של VMware ESXi ו-Cloud Foundation. למעשה, CVE-2025-22225 VMware ESXi רלוונטית במיוחד לגרסאות המועדפות בשוק:

  • VMware ESXi 7.0
  • VMware ESXi 8.0
  • VMware Cloud Foundation (VCF) גרסאות 4.x ו-5.x.

מה עליכם לעשות עכשיו (Action Items)

אין פה מקום למשחקים. Broadcom (שקנתה את VMware) שחררה עדכונים, וה-CISA הכניסה את החולשה לקטלוג ה-KEV (חולשות שמנוצלות בפועל). לפני שאתם ממשיכים, חשוב להבין ש-CVE-2025-22225 VMware ESXi כבר מנוצלת על ידי תוקפים מתוחכמים.

  1. עדכנו גרסה מיד (Patch Now): עליכם לשדרג לגרסאות המתוקנות ששוחררו (במרץ 2025):
    • למשתמשי ESXi 7.0: עדכנו ל-ESXi70U3s-24585291 (או חדש יותר).
    • למשתמשי ESXi 8.0: עדכנו ל-ESXi80U2d-24585300 או ESXi80U3d-24585383 (או חדש יותר).
  2. ציד איומים (Threat Hunting): אל תניחו שאתם נקיים רק כי התקנתם פאץ’ היום. בדקו את הלוגים של ה-ESXi. בנוסף, לאור CVE-2025-22225 VMware ESXi, כדאי לוודא שאין אינדיקציות חריגות:
  3. הקשחת רשת (Network Segmentation): ודאו שממשקי הניהול של ה-ESXi (פורט 443, SSH) לא חשופים לאינטרנט בשום צורה, ומוגבלים ברשת הניהול הפנימית בלבד. זה ה-Best Practice הבסיסי ביותר שיכול למנוע את הגישה הראשונית.

לסיכום: זהו אחד מאותם מקרים שבהם “נדחה את העדכון לסופ”ש” יכול לעלות לארגון בהשבתה מלאה. קבוצות התקיפה כבר שם, והן מחפשות שרתים לא מעודכנים. קחו שליטה על התשתיות שלכם כדי למנוע ניצול של CVE-2025-22225 VMware ESXi.

תפריט נגישות