Киберпреступники начали использовать критическую уязвимость в VMware ESXi. Ее исправление недоступно в России

Уязвимость «нулевого дня» в гипервизоре VMware ESXi, которая позволяет злоумышленникам получить контроль над всеми виртуальными машинами хоста, стала инструментом в реальных атаках вирусов-шифровальщиков. Об этом говорят данные Агентства по кибербезопасности и защите инфраструктуры (CISA), которое добавило ее в свой каталог активно эксплуатируемых уязвимостей. Для компаний, которые остаются на VMware без обновлений, это означает серьезный рост ИБ-рисков: Broadcom выпустила патч для этой уязвимости только в марте 2025 года, он официально недоступен для российских пользователей.

Публикуем наш подробный разбор ситуации, которую осветили в ТАСС.

Уязвимость зарегистрирована под номером CVE-2025-22225 и по системе CVSS оценивается на 8,2 из 10, что говорит о ее высоком уровне опасности. Она позволяет злоумышленнику сбежать из «песочницы» — изолированной среды виртуальной машины — и записать произвольный код в область ядра. Компрометация одной виртуальной машины может привести к быстрому захвату контроля над гипервизором, развитию атаки на сеть и шифрованию дисков всех виртуальных машин.

Чтобы использовать уязвимость, злоумышленник должен получить административные привилегии внутри виртуальной машины. Вредоносное ПО может запустить один из сотрудников в результате фишинга, или инсайдер, или легальный пользователь облака на ESXi. Доступ могут получить также в сценарии гибридного или частного облака, если хакеру удастся скомпрометировать сервер через известную уязвимость публично доступного приложения.

После получения привилегий злоумышленник может обойти меры безопасности и выйти за пределы среды одной виртуальной машины на уровень централизованного контроля над всеми хранилищами данных и виртуальными машинами, работающими на