cve-2025-22226 - RunkIntel

# CVE-2025-22226 - VMware ESXi Information Leak via VMCI (Cadeia MAESTRO) > [!high] CVSS 7.1 - CISA KEV - Escape de VM (Cadeia de 3 CVEs) > Vulnerabilidade de vazamento de informações no componente VMCI do VMware ESXi que permite leitura de memória do host a partir de uma VM guest. Integra a **cadeia MAESTRO** junto com **CVE-2025-22224** e **CVE-2025-22225** - permitindo escape completo de VM com controle total do hipervisor. Exploração ativa confirmada pela CISA em março de 2025. ## Visão Geral CVE-2025-22226 é uma vulnerabilidade de **vazamento de informações (information disclosure)** no componente VMCI (Virtual Machine Commúnication Interface) do [[vmware-esxi|VMware ESXi]]. A falha permite que um processo malicioso com privilégios dentro de uma VM guest leia conteúdo arbitrário da memória do servidor host ESXi, contornando o isolamento entre máquinas virtuais. Embora classificada individualmente como CVSS 7.1 (sem capacidade de escrita), esta CVE é o componente de reconhecimento de memória essencial para completar a cadeia de escape de VM mais grave documentada em 2025. O impacto real desta vulnerabilidade deve ser avaliado no contexto da **cadeia MAESTRO**: um toolkit de ataque sofisticado composto por três zero-days VMware explorados em sequência. O [[cve-2025-22224|CVE-2025-22224]] (heap overflow no HGFS, CVSS 9.3) fornece acesso inicial com execução de código no host. O CVE-2025-22226 fornece os endereços de memória do kernel host necessários para contornar o ASLR (Address Space Layout Randomization). O [[cve-2025-22225|CVE-2025-22225]] (arbitrary write no kernel, CVSS 8.2) completa o escape com escrita arbitrária na memória do hipervisor. Juntas, as três CVEs permitem que um atacante com acesso a uma VM guest comprometa completamente o hipervisor ESXi e, por extensão, todas as outras VMs no mesmo host. A Broadcom (proprietária da VMware) emitiu patches emergênciais em 4 de março de 2025, e a CISA adicionou todas as três CVEs ao catálogo KEV no mesmo dia, refletindo a gravidade da cadeia. Arquivos com extensão `.ENCRT` em hosts ESXi afetados são indicadores de comprometimento ativo, associados a atividade de ransomware pós-exploit. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | VMware (Broadcom) | ESXi 7.0 | < ESXi70U3s-24585291 | ESXi70U3s-24585291 | | VMware (Broadcom) | ESXi 8.0 Update 1 | < ESXi80U1d-24585307 | ESXi80U1d-24585307 | | VMware (Broadcom) | ESXi 8.0 Update 2 | < ESXi80U2b-24585300 | ESXi80U2b-24585300 | | VMware (Broadcom) | VMware Cloud Foundation 4.x | Afetado via ESXi | Consultar VMSA-2025-0004 | | VMware (Broadcom) | VMware Cloud Foundation 5.x | Afetado via ESXi | Consultar VMSA-2025-0004 | ## Cadeia de Exploração MAESTRO A cadeia MAESTRO opera em três etapas encadeadas, todas exigindo presença prévia dentro de uma VM guest (tipicamente obtida via comprometimento da aplicação hospedada): ``` [Atacante na VM Guest] | v CVE-2025-22224 (HGFS heap overflow) - Execução de código no processo vmtoolsd do host - Acesso inicial ao espaço de memória do hipervisor | v CVE-2025-22226 (VMCI info leak) ← esta CVE - Leitura de endereços de memória do kernel host - Bypassa ASLR - fornece base address para próxima etapa | v CVE-2025-22225 (arbitrary kernel write) - Escrita de código malicioso na memória do kernel ESXi - Escape completo: controle total do hipervisor | v [Atacante controla HOST ESXi + TODAS as VMs] ``` Este padrão é consistente com [[t1611-escape-to-host|T1611 - Escape to Host]] e [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] no contexto de ambientes virtualizados. ## Indicadores de Comprometimento **Indicadores de exploração ativa:** - Arquivos com extensão `.ENCRT` em datastores ESXi (indicativo de ransomware pós-exploit) - Processos incomuns executando no contexto `vmtoolsd` no host ESXi - Conexões de saída do host ESXi para IPs externos não esperados - Logs de erros no `vmkernel.log` com mensagens de corrupção de memória inesperadas - VMs com comportamento anômalo de comunicação inter-VM via VMCI ## Mitigação **Patch imediato - CRÍTICO:** - Aplicar patches VMSA-2025-0004 para ESXi 7.0, 8.0 Update 1 e 8.0 Update 2 - Atualização disponível via VMware vSphere Lifecycle Manager (vLCM) - Não há workaround adequado - atualização é obrigatória **Controles compensatórios enquanto patch não é aplicado:** - Restringir acesso à interface de gerenciamento VMware vCenter a redes de gerenciamento dedicadas - Implementar controles estritos sobre quais VMs podem se comúnicar via VMCI (revisar configurações de VMCI no vCenter) - Aumentar monitoramento de logs `vmkernel.log` e `hostd.log` em todos os hosts ESXi - Auditar contas com privilégios de console nas VMs guest hospedadas **Verificação de comprometimento:** ```bash # Verificar arquivos .ENCRT nos datastores (indicador de ransomware pós-exploit) find /vmfs/volumes -name "*.ENCRT" -type f 2>/dev/null # Verificar processos anômalos no host ps -ef | grep -v "vmkernel\|vmware\|hostd\|vpxa\|ntpd" | head -30 # Revisar logs de erros VMCI grep -i "vmci\|overflow\|corruption" /var/log/vmkernel.log | tail -100 ``` > [!latam] Contexto LATAM > A cadeia MAESTRO representa ameaça direta para a infraestrutura de data centers brasileiros e latino-americanos. VMware ESXi é a plataforma de virtualização dominante em ambientes enterprise e provedores de nuvem privada na região. Organizações do setor financeiro, telecomúnicações e infraestrutura crítica que hospedam múltiplos sistemas em ESXi estão expostas ao risco de comprometimento total do hipervisor - o que equivale a comprometer todos os sistemas virtualizados simultaneamente. No Brasil, o setor bancário e fintechs que utilizam virtualização para segregação de ambientes regulatórios (PCI-DSS, BACEN) devem tratar esta cadeia como P1 e aplicar patches de forma emergêncial. Provedores de nuvem privada e hospedagem que oferecem VPS sobre ESXi também são alvo de alto risco - comprometimento do hipervisor implica exposição de dados de múltiplos clientes. ## Detecção **Splunk - monitoramento de logs VMware:** ```spl index=vmware sourcetype="vmware:esxi:syslog" ("vmci" OR "memory corruption" OR "heap overflow" OR "ENCRT") | eval prioridade="ALTA - possivel cadeia MAESTRO CVE-2025-22224/22225/22226" | table _time, host, message, prioridade | sort -_time ``` **KQL - Microsoft Sentinel:** ```kql // Detecta arquivos .ENCRT em datastores ESXi (indicador de ransomware pós-exploit) SecurityEvent | where TimeGenerated > ago(7d) | where Computer contains "esxi" or Computer contains "vmware" | where EventData contains ".ENCRT" | project TimeGenerated, Computer, EventData, Account | order by TimeGenerated desc ``` ## Notas Relacionadas - [[cve-2025-22224|CVE-2025-22224]] - heap overflow HGFS (acesso inicial da cadeia, CVSS 9.3) - [[cve-2025-22225|CVE-2025-22225]] - arbitrary write no kernel (etapa final da cadeia, CVSS 8.2) - [[maestro-toolkit|MAESTRO]] - toolkit de ataque explorando as três CVEs - [[vmware-esxi|VMware ESXi]] - plataforma afetada - [[t1611-escape-to-host|T1611 - Escape to Host]] - técnica de escape de VM - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalada no hipervisor - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ransomware pós-exploit (.ENCRT) - [[technology|tecnologia]] - data centers e provedores de nuvem privada - [[government|governo]] - infraestrutura governamental virtualizada em ESXi - [[critical-infrastructure|infraestrutura crítica]] - sistemas críticos hospedados em ESXi ## Referências - [NVD - CVE-2025-22226](https://nvd.nist.gov/vuln/detail/CVE-2025-22226) - [VMware VMSA-2025-0004](https://www.vmware.com/security/advisories/VMSA-2025-0004.html) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Broadcom Security Advisory](https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24859)