بروڈکام از مشتریان VMware می‌خواهد تا به‌روزرسانی‌های اضطراری برای رفع باگ‌های صفر روزه در حال بهره‌برداری را انجام دهند

شرکت فناوری بزرگ ایالات متحده، براودکام، هشدار داده است که سه آسیب‌پذیری VMware به‌طور فعال توسط هکرهای مخرب برای نفوذ به شبکه‌های مشتریان شرکتی مورد استفاده قرار می‌گیرد. این آسیب‌پذیری‌ها می‌توانند به‌راحتی به زیرساخت‌های مجازی آسیب برسانند و امنیت اطلاعات را به خطر بیندازند.

سه آسیب‌پذیری که به‌طور جمعی با نام “ESXicape” توسط یک پژوهشگر امنیتی نام‌گذاری شده‌اند، شامل محصولات نرم‌افزاری VMware ESXi، Workstation و Fusion هستند. این محصولات به‌طور گسترده‌ای برای مدیریت چندین ماشین مجازی بر روی یک سرور واحد استفاده می‌شوند. هایپر وایزرها معمولاً برای کاهش نیاز به فضای فیزیکی سرور به کار می‌روند.

براودکام که در سال 2023 VMware را خریداری کرده است، اعلام کرد که این آسیب‌پذیری‌ها (که تحت عنوان‌های CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226 شناسایی شده‌اند) می‌توانند به یک مهاجم با امتیازات مدیر یا ریشه در یک ماشین مجازی اجازه دهند که از محیط محافظت‌شده‌اش خارج شود و به دسترسی غیرمجاز به محصول هایپر وایزر اصلی دست یابد.

با دسترسی به هایپر وایزر، یک مهاجم می‌تواند به هر ماشین مجازی دیگری دسترسی پیدا کند، از جمله سیستم‌های مجازی متعلق به شرکت‌های دیگر در همان مرکز داده فیزیکی.

براودکام می‌گوید که “اطلاعاتی برای پیشنهاد” وجود دارد که این آسیب‌پذیری‌ها در محیط واقعی مورد بهره‌برداری قرار گرفته‌اند.

استیون فیور، پژوهشگر اصلی امنیتی در شرکت تهدید اطلاعات Rapid7، به TechCrunch گفت: “تأثیر اینجا بسیار بزرگ است، یک مهاجم که یک هایپر وایزر را به خطر انداخته، می‌تواند به هر یک از ماشین‌های مجازی دیگر که همان هایپر وایزر را به اشتراک می‌گذارند، دسترسی پیدا کند.”

براودکام جزئیاتی در مورد نوع حملات یا بازیگران تهدیدکننده ارائه نکرد و مشخص نکرد که آیا داده‌های مشتری به خطر افتاده است یا خیر. سخنگوی براودکام به سؤالات TechCrunch پاسخ نداد. همچنین مایکروسافت که این آسیب‌پذیری‌ها را کشف کرده و به براودکام گزارش داده است، نیز در زمان انتشار پاسخ نداد.

پژوهشگر امنیتی کوین بومونت در یک پست در Mastodon اعلام کرد که این سه آسیب‌پذیری به‌طور فعال توسط یک گروه باج‌افزاری که هنوز نامش اعلام نشده است، مورد بهره‌برداری قرار می‌گیرد.

آسیب‌پذیری‌های VMware به‌طور مکرر توسط گروه‌های باج‌افزاری هدف قرار می‌گیرند، زیرا امکان بهره‌برداری از آن‌ها برای نفوذ به چندین سرور در یک حمله واحد وجود دارد و به دلیل اینکه داده‌های حساس شرکتی اغلب در این محیط‌های مجازی ذخیره می‌شوند، این آسیب‌پذیری‌ها می‌توانند خطرناک باشند.

مایکروسافت در سال 2024 کشف کرد که چندین گروه باج‌افزاری از نقص هایپر وایزر VMware در حملات خود استفاده می‌کنند که شامل باج‌افزارهای Black Basta و LockBit در کمپین‌های سرقت داده‌های شرکتی است. سال گذشته، یک کمپین هک بزرگ به نام “ESXiArgs” شاهد بهره‌برداری گروه‌های باج‌افزاری از یک آسیب‌پذیری دو ساله VMware بود که هزاران سازمان در سرتاسر جهان را هدف قرار داد.

براودکام وصله‌هایی برای این سه آسیب‌پذیری منتشر کرده است که به عنوان باگ‌های “صفر روز” طبقه‌بندی شده‌اند، به این دلیل که قبل از ارائه اصلاحیه مورد بهره‌برداری قرار گرفتند. براودکام توصیه کرده است که مشتریان هرچه سریع‌تر این وصله‌ها را اعمال کنند و مشاوره امنیتی خود را به‌عنوان یک تغییر “اضطراری” توصیف کرده است.

سازمان امنیت سایبری دولت ایالات متحده، CISA، همچنین به آژانس‌های فدرال هشدار می‌دهد که برای رفع این باگ‌ها اقدام کنند و آن‌ها را به فهرست آسیب‌پذیری‌های در حال حمله خود اضافه کرده است.