انتشار شده در تاریخ 1403/12/15 - 14:49

هشدار درباره آسیب‌پذیری‌های جدید مورد سوءاستفاده هکرها

آژانس‌های غیرنظامی فدرال سه هفته فرصت دارند تا سه آسیب‌پذیری جدید که اخیراً در محصولات شرکت فناوری وی ام ور گزارش شده‌اند را برطرف کنند. این شرکت تأیید کرده که هکرها در حال بهره‌برداری از این آسیب‌پذیری‌ها هستند.

به گزارش کارگروه امنیت خبرگزاری سایبربان، وی ام ور (VMware) روز سه‌شنبه با انتشار یک اطلاعیه، مشتریان خود را از سه آسیب‌پذیری با شناسه‌های CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226 آگاه کرد که بر محصولات محبوب این شرکت از جمله ESXi، ورک استیشن (Workstation) و فیوژن (Fusion) تأثیر می‌گذارند.

این شرکت اعلام کرد که این آسیب‌پذیری‌ها توسط مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) گزارش شده‌اند.

در میان آن‌ها، CVE-2025-22224 با امتیاز شدت 9.3 از 10، خطرناک‌ترین مورد محسوب می‌شود.

وی ام ور تأکید کرد که همه مشتریان باید این به‌روزرسانی‌ها را اعمال کنند، زیرا این شرکت اطلاعاتی دارد که نشان می‌دهد سوءاستفاده از این نقص‌ها در محیط واقعی رخ داده است.

آژانس امنیت سایبری و زیرساخت‌های آمریکا (CISA) نیز روز سه‌شنبه با افزودن این سه آسیب‌پذیری به فهرست آسیب‌پذیری‌های مورد سوءاستفاده شناخته‌شده (KEV) تأیید کرد که از این نقص‌ها سوءاستفاده شده است.

طبق اعلام این آژانس، آژانس‌های غیرنظامی فدرال تا ۲۵ مارس فرصت دارند تا این مشکلات را برطرف کنند.

در یک سند پرسش و پاسخ، وی ام ور اعلام کرد که این آسیب‌پذیری‌ها در دسته تغییرات اضطراری قرار می‌گیرند و به اقدام فوری از سوی سازمان‌ها نیاز دارند.

این شرکت توضیح داد:

بهره‌برداری از این آسیب‌پذیری نیاز به دسترسی مدیر/ریشه (root) در یک سیستم‌عامل مهمان دارد، بنابراین اگر لایه‌های دفاعی مناسبی وجود داشته باشند، می‌توانند مانع سوءاستفاده شوند. با این حال، هیچ راه‌حل جایگزین مؤثری وجود ندارد که نیازی به به‌روزرسانی و راه‌اندازی مجدد محصول ESXi نداشته باشد.

این سند همچنین شامل فهرستی طولانی از اطلاعات خاص بر اساس نوع ابزار وی ام ور مورد استفاده توسط مشتریان است.

کارشناسان امنیت سایبری در شرکت رپید7 (Rapid7) اشاره کردند که برای سوءاستفاده از این آسیب‌پذیری‌ها، نیاز به دسترسی دارای امتیاز بالا وجود دارد و هیچ کد سوءاستفاده عمومی برای این نقص‌ها منتشر نشده است.

با این حال، این شرکت هشدار داد که با توجه به اینکه هایپروایزرهای ESXi هدف محبوبی برای مهاجمان با انگیزه مالی و همچنین گروه‌های تحت حمایت دولت‌ها هستند، توصیه می‌شود که به‌روزرسانی‌های ارائه‌شده توسط فروشنده در سریع‌ترین زمان ممکن اعمال شوند.

پاتریک تیکت، کارشناس امنیت سایبری در شرکت کیپر سکیوریتی (Keeper Security)، هشدار داد که این آسیب‌پذیری‌ها بسیار جدی هستند، زیرا به مهاجمان اجازه می‌دهند از یک ماشین مجازی (VM) آلوده خارج شده و کنترل سیستم میزبان را به دست بگیرند.

او توضیح داد که CVE-2025-22224 به مهاجمان با دسترسی مدیریتی در داخل یک ماشین مجازی این امکان را می‌دهد که کد مخرب را روی سیستم میزبان اجرا کنند.

این موضوع می‌تواند به آن‌ها کنترل تمام ماشین‌های مجازی دیگر در همان سرور را بدهد.

او اظهار کرد:

خطر اصلی این است که مهاجمان پس از دستیابی به این سطح از دسترسی، می‌توانند در سراسر سیستم گسترش یابند، داده‌ها را سرقت کنند و درهای پشتی (backdoors) برای حفظ دسترسی ایجاد کنند.

تیکت و چندین کارشناس دیگر اشاره کردند که در گذشته، هم مجرمان سایبری و هم گروه‌های تحت حمایت دولت‌ها از آسیب‌پذیری‌های وی ام ور برای ایجاد دسترسی‌های طولانی‌مدت به شبکه‌های سازمانی استفاده کرده‌اند.