본문으로 건너뛰기
피드

ESXi VM 탈출 익스플로잇 등장 — 하이퍼바이저까지 완전 장악당함

security 약 5분
vote
0
댓글
북마크

Huntress가 게스트 VM에서 탈출해 ESXi 하이퍼바이저를 완전히 장악하는 익스플로잇 툴킷을 발견함. ESXi 5.1~8.0의 150개 이상 빌드를 지원하며, 제로데이 3개를 체인으로 엮어 VM 격리를 깨는 실전용 공격 도구임.

  • 1

    ESXi 제로데이 3개(OOB Read, TOCTOU, 임의 쓰기)를 체인으로 엮은 VM 탈출 공격

  • 2

    ESXi 5.1~8.0 150개 이상 빌드 지원하는 실전용 툴킷

  • 3

    VSOCKpuppet 백도어로 호스트-게스트 간 자유로운 명령 실행

  • 4

    코드 개발은 취약점 공개 1년 전인 2024년 2월부터 시작

무슨 일이 벌어진 건지

  • VM은 격리되어 있다는 게 가상화의 대전제인데, 이걸 완전히 뒤집는 익스플로잇 툴킷이 발견됨. 게스트 VM에서 탈출해서 ESXi 하이퍼바이저 자체를 장악하는 공격임
  • 보안 업체 Huntress가 발견했는데, 공격자들이 2025년 12월에 이 툴킷을 실전 배치함. 근데 코드 내부 증거를 보면 개발 시작은 2024년 2월. VMware가 취약점을 공개(2025년 3월)하기 1년 전부터 이미 만들고 있었다는 거임
  • 이 툴킷이 장난이 아닌 게, ESXi 5.1부터 8.0까지 150개 이상의 빌드를 지원함. 그냥 PoC 수준이 아니라 완전히 실전용으로 제작된 무기임

공격 체인 상세

  • 공격 흐름: 먼저 Windows VM을 탈취 → VMware VMCI 디바이스 비활성화 → BYOVD(Bring-Your-Own-Vulnerable-Driver) 기법으로 악성 드라이버 로드
  • 여기서 ESXi 제로데이 3개를 체인으로 엮어서 씀:
    • OOB Read: 메모리 누출용
    • TOCTOU 버그: VMX 프로세스 내 코드 실행
    • 임의 쓰기(Arbitrary Write): ESXi 커널의 함수 포인터를 덮어씀
  • VMX 프로세스에 셸코드를 인젝션하고 VMware의 백도어 채널을 통해 실행을 트리거함 — 이걸로 VM 격리를 깨고 ESXi 호스트로 탈출
  • 탈출 후에는 VSOCKpuppet이라는 백도어를 설치하는데, VSOCK 통신으로 게스트 VM과 침해된 호스트 사이에서 명령 실행 + 파일 전송이 자유자재임
  • 흔적 제거도 철저함: ESXi 설정 파일 수정, 익스플로잇 흔적 정리, 비활성화했던 드라이버 재활성화까지 해둠. 포렌식으로도 잡기 어려운 수준이라는 거
sequenceDiagram
    participant 공격자
    participant Windows VM
    participant VMX프로세스
    participant ESXi커널
    participant VSOCKpuppet

    공격자->>Windows VM: 초기 침투 + VMCI 비활성화
    공격자->>Windows VM: BYOVD로 악성 드라이버 로드
    Windows VM->>VMX프로세스: 제로데이 3개 체인 익스플로잇
    VMX프로세스->>ESXi커널: 함수 포인터 덮어쓰기
    ESXi커널-->>VMX프로세스: 커널 레벨 접근 획득
    VMX프로세스->>VSOCKpuppet: 백도어 설치
    VSOCKpuppet->>Windows VM: VSOCK으로 명령/파일 전송
    VSOCKpuppet->>ESXi커널: 흔적 제거 + 설정 조작

⚠️주의

> ESXi 5.1~8.0 전 버전이 영향권임. VMware 보안 패치를 즉시 적용하고, 하이퍼바이저에서 서명 안 된 드라이버 로드나 비정상 VSOCK 트래픽을 모니터링해야 함

방어 대책

  • VMware 보안 패치 즉시 적용이 가장 급선무
  • 하이퍼바이저 레벨에서 직접 모니터링 필요: unsigned 드라이버 로드, 비정상 VSOCK 트래픽 감시
  • VPN 어플라이언스 등 경계 방어 강화 — 초기 침투를 막는 게 핵심
  • 엄격한 접근 제어 + 정기 취약점 점검으로 횡이동(Lateral Movement)과 권한 상승 차단

VM 격리를 신뢰하고 있는 모든 가상화 인프라가 위험함. 하이퍼바이저 레벨 모니터링 없이는 이런 공격을 탐지하기 거의 불가능하다는 게 핵심.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.