ESXi VM 탈출 익스플로잇 등장 — 하이퍼바이저까지 완전 장악당함

무슨 일이 벌어진 건지

• VM은 격리되어 있다는 게 가상화의 대전제인데, 이걸 완전히 뒤집는 익스플로잇 툴킷이 발견됨. 게스트 VM에서 탈출해서 ESXi 하이퍼바이저 자체를 장악하는 공격임
• 보안 업체 Huntress가 발견했는데, 공격자들이 2025년 12월에 이 툴킷을 실전 배치함. 근데 코드 내부 증거를 보면 개발 시작은 2024년 2월. VMware가 취약점을 공개(2025년 3월)하기 1년 전부터 이미 만들고 있었다는 거임
• 이 툴킷이 장난이 아닌 게, ESXi 5.1부터 8.0까지 150개 이상의 빌드를 지원함. 그냥 PoC 수준이 아니라 완전히 실전용으로 제작된 무기임

공격 체인 상세

• 공격 흐름: 먼저 Windows VM을 탈취 → VMware VMCI 디바이스 비활성화 → BYOVD(Bring-Your-Own-Vulnerable-Driver) 기법으로 악성 드라이버 로드
• 여기서 ESXi 제로데이 3개를 체인으로 엮어서 씀:
  • OOB Read: 메모리 누출용
  • TOCTOU 버그: VMX 프로세스 내 코드 실행
  • 임의 쓰기(Arbitrary Write): ESXi 커널의 함수 포인터를 덮어씀
• VMX 프로세스에 셸코드를 인젝션하고 VMware의 백도어 채널을 통해 실행을 트리거함 — 이걸로 VM 격리를 깨고 ESXi 호스트로 탈출
• 탈출 후에는 VSOCKpuppet이라는 백도어를 설치하는데, VSOCK 통신으로 게스트 VM과 침해된 호스트 사이에서 명령 실행 + 파일 전송이 자유자재임
• 흔적 제거도 철저함: ESXi 설정 파일 수정, 익스플로잇 흔적 정리, 비활성화했던 드라이버 재활성화까지 해둠. 포렌식으로도 잡기 어려운 수준이라는 거

sequenceDiagram
    participant 공격자
    participant Windows VM
    participant VMX프로세스
    participant ESXi커널
    participant VSOCKpuppet

    공격자->>Windows VM: 초기 침투 + VMCI 비활성화
    공격자->>Windows VM: BYOVD로 악성 드라이버 로드
    Windows VM->>VMX프로세스: 제로데이 3개 체인 익스플로잇
    VMX프로세스->>ESXi커널: 함수 포인터 덮어쓰기
    ESXi커널-->>VMX프로세스: 커널 레벨 접근 획득
    VMX프로세스->>VSOCKpuppet: 백도어 설치
    VSOCKpuppet->>Windows VM: VSOCK으로 명령/파일 전송
    VSOCKpuppet->>ESXi커널: 흔적 제거 + 설정 조작

방어 대책

• VMware 보안 패치 즉시 적용이 가장 급선무
• 하이퍼바이저 레벨에서 직접 모니터링 필요: unsigned 드라이버 로드, 비정상 VSOCK 트래픽 감시
• VPN 어플라이언스 등 경계 방어 강화 — 초기 침투를 막는 게 핵심
• 엄격한 접근 제어 + 정기 취약점 점검으로 횡이동(Lateral Movement)과 권한 상승 차단