ESXi VM Escape 실제 사례: 중국발 제로데이 익스플로잇 분석
중국어권 해커들이 SonicWall VPN을 뚫고 VMware ESXi 하이퍼바이저까지 장악하는 공격이 실제로 발생했습니다.
취약점 공개 1년 전부터 개발된 익스플로잇 툴킷의 실체를 살펴봅니다.
들어가며
요즘 가상화 환경 보안 이슈가 심상치 않습니다.
특히 이번에 터진 건 좀 충격적인데요.
중국어를 사용하는 해커 집단이 소닉월 VPN 장비를 먼저 털고 그 다음에 VMware ESXi 하이퍼바이저까지 완전히 장악하는 공격을 성공시켰다고 알려졌습니다.
보안 업체 헌트리스에서 2025년 12월에 실제 침해 사고를 분석해서 공개했는데
내용이 어마어마하네요.
취약점 정보
브로드컴이 2025년 3월 공개한 ESXi 제로데이 3개가 연쇄 악용된 것으로 추정됩니다.
| CVE | CVSS | 설명 |
|---|---|---|
| CVE-2025-22224 | 9.3 | VMCI의 TOCTOU 취약점으로 VMX 프로세스에서 코드 실행 |
| CVE-2025-22225 | 8.2 | 임의 쓰기 취약점으로 VMX 샌드박스 탈출 |
| CVE-2025-22226 | 7.1 | HGFS 경계 외 읽기로 VMX 메모리 유출 |
공격 예시
헌트리스가 공개한 실제 공격 과정을 정리하였습니다.
1. 백업 도메인 컨트롤러
탈취한 DA 계정으로 RDP 접속 후 정찰 도구 배포
- Advanced Port Scanner 2.5.3869
- SoftPerfect Network Scanner
- ShareFinder로 네트워크 공유 열거 → C:\ProgramData\shares.txt 저장
2. 주 도메인 컨트롤러
방화벽 조작 - 외부 차단하고 내부만 허용
netsh advfirewall firewall add rule "name=Block External Outbound" dir=out action=block remoteip=0.0.0.0-255.255.255.255 profile=any
netsh advfirewall firewall add rule "name=Allow Local Network-2" dir=out action=allow remoteip=10.0.0.0/8 profile=any
데이터 유출 준비 - WinRAR로 네트워크 공유 압축
3. ESXi 익스플로잇 실행
툴킷 배포 약 20분 후 실행:
devcon.exe disable "PCI\VEN_15AD&DEV_0740"
devcon.exe disable "ROOT\VMWVMCIHOSTDEV"
kdu.exe -prv 1 -map MyDriver.sys
exploit.exe
1-2번: VMCI 드라이버 비활성화 (하드웨어 직접 접근 위해)
3번: KDU로 서명 안 된 드라이버 커널 로드 (DSE 우회)
4번: MAESTRO 실행하여 VM 탈출 수행
익스플로잇 툴킷 구성
| 구성요소 | 역할 |
|---|---|
| MAESTRO (exploit.exe) | 공격 오케스트레이터. VMCI 비활성화 및 드라이버 로드 조율 |
| MyDriver.sys | VM 탈출 수행 커널 드라이버. ESXi 5.1~8.0 총 155개 빌드 지원 |
| VSOCKpuppet | ESXi 호스트 백도어. VSOCK 포트 10000 통신 |
| client.exe | 게스트 VM에서 백도어 제어하는 클라이언트 |
공격자 정보 추정
PDB 경로에서 “2024_02_19” 날짜와 “全版本逃逸–交付”(전 버전 탈출-전달) 폴더명 발견됐다고 합니다.
그래서 취약점 공개 1년 전부터 개발된 것으로 추정하네요.
영어 README도 함께 있어서 판매용 툴킷일 가능성도 있다고 합니다.
중국어가 있다보니 중국어를 사용하는 해커 집단이라고 추정하는거죠.
대응 방안
Shadowserver Foundation 데이터에 따르면
2026년 1월 8일 기준으로 인터넷에 노출된 ESXi 인스턴스 중 CVE-2025-22224에 취약한 게 3만 개가 넘는다고 합니다.
ESXi를 윤영한다면 반드시 업그레이드해야 합니다.
- ESXi 최신 패치 즉시 적용 (EOL 버젼은 업그레이드 필수)
- VPN 장비 보안 점검 (특히 소닉월)
- DA 계정 MFA 적용 및 권한 최소화
- ESXi 호스트에서 VSOCK 프로세스 모니터링 (
lsof -a) - KDU 같은 BYOD 로더 실행 탐지
IOC
| 항목 | SHA256 |
|---|---|
| MAESTRO | 37972a232ac6d8c402ac4531430967c1fd458b74a52d6d1990688d88956791a7 |
| client.exe | 4614346fc1ff74f057d189db45aa7dc25d6e7f3d9b68c287a409a53c86dca25e |
| VSOCKpuppet | c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89 |
| MyDriver.sys | 2bc5d02774ac1778be22cace51f9e35fe7b53378f8d70143bf646b68d2c0f94c |
마치며
이번 사건은 가상화 환경의 격리가 완벽하지 않다는 걸 다시 한번 보여줬습니다.
VM 안에 있으니까 안전하다는 생각은 이제 버려야 할 것 같습니다.
특히 공격 도구가 취약점 공개 1년 전부터 개발되고 있었다는 점이 무섭습니다.
우리가 모르는 사이에 이미 뚫려 있을 수도 있다는 거니까요.
패치 미루지 마시고 VPN 장비 점검도 꼭 하시기 바랍니다.