أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ثغرة أمنية في منصة VMware ESXi ضمن قائمة الثغرات المعروفة والمستغلة (KEV)، مؤكدة رصد نشاط لمجموعات تهديد تستخدم هذه الثغرة في تنفيذ هجمات برمجيات الفدية. وتفرض هذه الخطوة على الوكالات الفيدرالية والمؤسسات الحيوية ضرورة تنفيذ إجراءات تصحيحية عاجلة لحماية بيئات العمل الافتراضية.
وتكمن خطورة الثغرة المسجلة تحت الرمز (CVE-2025-22225) في قدرتها على تمكين المهاجم من تجاوز عزل الآلات الافتراضية، وهو ما يعرف تقنياً بالهروب من العزل (VM Escape). ويتيح هذا الاختراق للمهاجمين الانتقال من التحكم في آلة افتراضية محدودة إلى السيطرة الكاملة على المضيف، ما يحول الضرر من مجرد تعطيل خادم واحد إلى تهديد شامل يستهدف كامل البنية التحتية الافتراضية للمؤسسة.
مسارات الاستغلال والبيانات الرسمية
أفادت الوثائق المرجعية وقاعدة بيانات الثغرات الوطنية الأميركية (NVD) بأن إدراج هذه الثغرة في كتالوج KEV يعكس وجود أدلة قطعية على استغلالها في بيئات العمل الحقيقية، رغم غياب التفاصيل العلنية حول هوية الجهات المنفذة أو حجم الخسائر البشرية والمادية للضحايا.
من جهتها، أوضحت شركة Broadcom، المالكة لمنصة VMware، أنها وفرت المعالجات التقنية اللازمة لهذه الثغرة ومجموعة أخرى من الثغرات منذ الرابع من مارس 2025، وذلك عبر النشرة الأمنية (VMSA-2025-0004). وتؤكد التقارير الفنية أن التأخير في تطبيق هذه التحديثات يجعل الأنظمة عرضة لسلسلة من الهجمات المتتابعة التي تبدأ بتسريب المعلومات وتنتهي بفساد الذاكرة والوصول إلى النواة.
تحليل المخاطر وسيناريوهات الاختراق
تصنف الثغرة (CVE-2025-22225) بدرجة خطورة تصل إلى 8.2، وتوصف بأنها حالة كتابة اعتباطية (Arbitrary Write) داخل بيئة ESXi. ويزيد نجاح هذا النمط من الهجمات من قدرة المهاجم على التحرك أفقياً بين أحمال العمل المتجاورة، متجاوزاً ضوابط الأمن التقليدية التي تركز على مراقبة الشبكة فقط.
وتشير النشرة الأمنية إلى وجود 3 ثغرات مترابطة تم التحذير منها:
- CVE-2025-22224: بدرجة خطورة (9.3).
- CVE-2025-22225: بدرجة خطورة (8.2).
- CVE-2025-22226: بدرجة خطورة (7.1).
وتبرز أعلى مستويات المخاطر في الأنظمة التي تعمل بإصدارات قديمة أو منتهية الدعم، وكذلك البيئات التي تملك واجهات إدارة مكشوفة تمنح المهاجمين موطئ قدم أولي قبل توسيع سيطرتهم.
