VM Escape su VMware ESXi: zero‑day cinesi prendono l’hypervisor via SonicWall e canale VSOCK invisibile

News
Visite: 83

Un gruppo di attaccanti di lingua cinese è stato collegato a una catena di attacco avanzata contro ambienti virtualizzati VMware ESXi, con un obiettivo chiaro: ottenere il controllo dell’hypervisor partendo da una macchina virtuale. L’accesso iniziale sarebbe avvenuto tramite un appliance VPN SonicWall compromesso, usato come punto di ingresso per distribuire un toolkit capace di sfruttare vulnerabilità zero-day di VMware ESXi osservate in attacchi reali.

Il cuore della campagna è una tecnica di VM escape, cioè la capacità di uscire dall’isolamento della virtual machine e interagire con i processi dell’host. La catena di exploit sembra combinare tre falle note come CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226, che consentono rispettivamente di ottenere perdite di memoria, corruzione della memoria e scritture arbitrarie utili a bypassare la sandbox. Questo tipo di concatenazione è particolarmente pericoloso perché trasforma un singolo accesso amministrativo in una VM in un controllo esteso sull’infrastruttura ESXi.

Il toolkit include un componente orchestratore chiamato exploit.exe, che coordina più moduli. Tra questi compaiono strumenti per disabilitare temporaneamente i driver VMCI lato guest e un driver kernel non firmato caricato in memoria tramite utility dedicate, con lo scopo di identificare la versione ESXi dell’host e attivare la sequenza di sfruttamento. Una volta ottenuta la possibilità di scrivere nella memoria del processo VMX, vengono iniettati più payload: shellcode di preparazione, shellcode per consolidare la presenza sull’host e una backdoor ELF a 64 bit progettata per accesso remoto persistente.

Un elemento chiave è l’uso di VSOCK, un canale di comunicazione diretto tra guest e hypervisor che può aggirare il monitoraggio di rete tradizionale. La backdoor comunica su una porta VSOCK dedicata e viene gestita da un client eseguibile dalla VM Windows, in grado di caricare e scaricare file e lanciare comandi sull’hypervisor. La distribuzione del client avviene tramite archivio ZIP con istruzioni operative, segnale di un toolkit maturo e orientato all’utilizzo ripetibile.

La combinazione tra vulnerabilità VMware ESXi, VM escape e comunicazione VSOCK evidenzia un rischio elevato per data center e infrastrutture virtualizzate, soprattutto quando l’accesso VPN è poco protetto e le patch non vengono applicate rapidamente.

Pin It
, , , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta