CISA ยืนยันแล้วว่าแก๊งแรนซัมแวร์เริ่มใช้ประโยชน์จากช่องโหว่ VMware ESXi (CVE-2025-22225) ซึ่งเป็นบั๊กหลุดจากแซนด์บ็อกซ์ (sandbox escape) ระดับร้ายแรง แม้ Broadcom จะออกแพตช์ตั้งแต่มีนาคม 2025 แต่ยังมีองค์กรที่ไม่ได้อัปเดต จึงกลายเป็นเป้าโจมตี
ช่องโหว่ CVE-2025-22225 เปิดทางให้ผู้โจมตีที่มีสิทธิใน VMX process เขียนข้อมูลลงเคอร์เนลได้ ทำให้ “หนีออกจาก VM” ไปสู่โฮสต์ได้จริง โดยมักถูก รวมกับช่องโหว่หลายจุดมาต่อเรียงลำดับอย่าง CVE-2025-22224 (TOCTOU) และ CVE-2025-22226 (memory leak) เพื่อเพิ่มโอกาสยึดระบบ ทั้งใน ESXi, vSphere, Workstation, Fusion, Cloud Foundation และ Telco Cloud Platform
CISA ระบุว่าแคมเปญล่าสุดเป็น แรนซัมแวร์ และได้ใส่ช่องโหว่นี้ไว้ใน Known Exploited Vulnerabilities (KEV) พร้อมสั่งหน่วยงานรัฐสหรัฐฯ แพตช์ภายในเส้นตายเดิม (มี.ค. 2025) แนะแอดมินทุกองค์กร “ทำตามคู่มือผู้ผลิตทันที หรือหยุดใช้งาน” หากยังหาวิธีบรรเทาไม่ได้ เหตุผลที่ VMware ถูกเล็งบ่อย เพราะเป็นโครงสร้างหลักของดาต้าเซ็นเตอร์ซึ่งเก็บข้อมูลสำคัญไว้จำนวนมาก
ช่องโหว่ CVE-2025-22225 บน VMware ESXi ถูกใช้โจมตีแบบแรนซัมแวร์แล้ว ซึ่งช่องโหว่นี้จะช่วยให้แฮกเกอร์ “หนี VM” เข้าถึงโฮสต์ได้ และมักจะถูกนำมาใช้กับ CVE-2025-22224/22226
บริการ Cloud VPS ของโฮสต์อะตอม ออกแบบโครงสร้างแยกโฮสต์/เครือข่าย, ปิดพอร์ต, WAF/IDS, วางแผนแพตช์แบบ Zero-Downtime รายละเอียดสามารถดูได้ที่ 👉https://www.hostatom.com/cloud-vps
ที่มา: Bleeping Computer
