미국 기술 거대 Broadcom은 악의적 해커들이 사용 중인 세 개의 VMware 취약점으로 기업 고객들의 네트워크를 침해하려고 한다는 경고를 하고 있습니다.
이 세 가지 취약점은 일명 'ESXicape'로 불리는 보안 연구자에 의해 모두 VMware ESXi, Workstation 및 Fusion에 영향을 미치며, 이 제품들은 단일 서버에서 여러 가상 머신을 관리하는 데 사용되는 소프트웨어 하이퍼바이저 제품입니다. 하이퍼바이저는 물리적 서버 공간을 적게 차지할 필요성을 줄이기 위해 일반적으로 사용됩니다.
2023년 Broadcom이 VMware를 인수한 후, VMware가 CVE-2025-22224, CVE-2025-22225 및 CVE-2025-22226으로 추적되는 취약점이 가상 머신에서 관리자 또는 루트 권한을 가진 공격자가 보호된 샌드박스를 탈출하고 기본 하이퍼바이저 제품에 대한 더 넓은 무단 액세스를 얻을 수 있게 할 수 있다고 밝혔습니다.
하이퍼바이저에 액세스하면 공격자는 기본 데이터 센터에서 다른 회사가 소유한 가상 시스템을 포함한 다른 모든 가상 머신에 액세스할 수 있습니다. Broadcom은 이 취약점이 '야생에서 악용되었다는 정보가 있다'고 말했습니다.
'여기에 영향은 엄청납니다. 하이퍼바이저를 침입한 공격자는 동일한 하이퍼바이저를 공유하는 다른 가상 머신 중 어느 것이든 침입 기회를 제공할 수 있습니다.'라고 보안 정보 회사 Rapid7의 주요 보안 연구원인 Stephen Fewer가 TechCrunch에 말했습니다.
Broadcom은 공격의 성격이나 그 뒤에 있는 위협 주체에 대한 자세한 내용을 공유하지 않았으며 고객 데이터에 접근되었는지에 대해서도 말하지 않았습니다. Broadcom 대변인은 TechCrunch의 질문에 답하지 않았습니다. 이 취약점을 발견하고 Broadcom에 보고한 Microsoft도 인쇄 시간까지 답하지 않았습니다.
보안 연구자인 Kevin Beaumont는 Mastodon 게시물에서 아직 이름을 밝히지 않은 어느 랜섬웨어 그룹에 의해 세 가지 취약점이 적극적으로 악용된다고 말했습니다.
VMware 취약점은 여러 대상 서버를 침해하는 데 사용되기 쉬운 랜섬웨어 그룹에게 자주 노출되며, 민감한 기업 데이터가 이러한 가상화된 환경에 저장되기 때문에 단일 공격 중에 여러 서버를 침해하는 능력을 가지고 있습니다.
Microsoft는 2024년에 여러 랜섬웨어 그룹이 Black Basta 및 LockBit 랜섬웨어를 배포하는 데이터 도용 캠페인에서 VMware 하이퍼바이저 취약점을 악용하는 공격을 발견했습니다. 지난 해에는 'ESXIArgs'라는 대규모 해킹 캠페인에서 랜섬웨어 그룹이 두 년 전 VMware 취약점을 악용하여 전 세계 수천 개 기관을 대상으로 했습니다.
Broadcom은 세 가지 취약점에 대한 패치를 공개했으며, 무결점이 제공되기 전에 악용된 사실로 인해 '제로데이' 버그로 분류되었습니다. Broadcom은 보안 공지를 '비상사태' 변경으로 설명하고 고객들에게 가능한 빨리 패치를 적용하라고 요청하고 있습니다.
미국 정부 사이버 보안 기관 CISA도 이 취약점에 대해 패치하도록 연방 기관들에 경고하고 있으며, 이를 공격을 받고 있다고 알려진 취약점 카탈로그에 추가했습니다.
