--- title: "ESXi VM 탈출 익스플로잇 등장 — 하이퍼바이저까지 완전 장악당함" published: 2026-01-17T21:37:10.000Z canonical: https://jeff.news/article/966 --- # ESXi VM 탈출 익스플로잇 등장 — 하이퍼바이저까지 완전 장악당함 Huntress가 게스트 VM에서 탈출해 ESXi 하이퍼바이저를 완전히 장악하는 익스플로잇 툴킷을 발견함. ESXi 5.1~8.0의 150개 이상 빌드를 지원하며, 제로데이 3개를 체인으로 엮어 VM 격리를 깨는 실전용 공격 도구임. ## 무슨 일이 벌어진 건지 - VM은 격리되어 있다는 게 가상화의 대전제인데, 이걸 완전히 뒤집는 익스플로잇 툴킷이 발견됨. 게스트 VM에서 탈출해서 ESXi 하이퍼바이저 자체를 장악하는 공격임 - 보안 업체 Huntress가 발견했는데, 공격자들이 2025년 12월에 이 툴킷을 실전 배치함. 근데 코드 내부 증거를 보면 개발 시작은 2024년 2월. VMware가 취약점을 공개(2025년 3월)하기 **1년 전**부터 이미 만들고 있었다는 거임 - 이 툴킷이 장난이 아닌 게, ESXi 5.1부터 8.0까지 **150개 이상의 빌드**를 지원함. 그냥 PoC 수준이 아니라 완전히 실전용으로 제작된 무기임 ## 공격 체인 상세 - 공격 흐름: 먼저 Windows VM을 탈취 → VMware VMCI 디바이스 비활성화 → BYOVD(Bring-Your-Own-Vulnerable-Driver) 기법으로 악성 드라이버 로드 - 여기서 ESXi 제로데이 3개를 체인으로 엮어서 씀: - **OOB Read**: 메모리 누출용 - **TOCTOU 버그**: VMX 프로세스 내 코드 실행 - **임의 쓰기(Arbitrary Write)**: ESXi 커널의 함수 포인터를 덮어씀 - VMX 프로세스에 셸코드를 인젝션하고 VMware의 백도어 채널을 통해 실행을 트리거함 — 이걸로 VM 격리를 깨고 ESXi 호스트로 탈출 - 탈출 후에는 **VSOCKpuppet**이라는 백도어를 설치하는데, VSOCK 통신으로 게스트 VM과 침해된 호스트 사이에서 명령 실행 + 파일 전송이 자유자재임 - 흔적 제거도 철저함: ESXi 설정 파일 수정, 익스플로잇 흔적 정리, 비활성화했던 드라이버 재활성화까지 해둠. 포렌식으로도 잡기 어려운 수준이라는 거 ```mermaid sequenceDiagram participant 공격자 participant Windows VM participant VMX프로세스 participant ESXi커널 participant VSOCKpuppet 공격자->>Windows VM: 초기 침투 + VMCI 비활성화 공격자->>Windows VM: BYOVD로 악성 드라이버 로드 Windows VM->>VMX프로세스: 제로데이 3개 체인 익스플로잇 VMX프로세스->>ESXi커널: 함수 포인터 덮어쓰기 ESXi커널-->>VMX프로세스: 커널 레벨 접근 획득 VMX프로세스->>VSOCKpuppet: 백도어 설치 VSOCKpuppet->>Windows VM: VSOCK으로 명령/파일 전송 VSOCKpuppet->>ESXi커널: 흔적 제거 + 설정 조작 ``` > [!WARNING] > ESXi 5.1~8.0 전 버전이 영향권임. VMware 보안 패치를 **즉시** 적용하고, 하이퍼바이저에서 서명 안 된 드라이버 로드나 비정상 VSOCK 트래픽을 모니터링해야 함 ## 방어 대책 - VMware 보안 패치 즉시 적용이 가장 급선무 - 하이퍼바이저 레벨에서 직접 모니터링 필요: unsigned 드라이버 로드, 비정상 VSOCK 트래픽 감시 - VPN 어플라이언스 등 경계 방어 강화 — 초기 침투를 막는 게 핵심 - 엄격한 접근 제어 + 정기 취약점 점검으로 횡이동(Lateral Movement)과 권한 상승 차단 ## 핵심 포인트 - ESXi 제로데이 3개(OOB Read, TOCTOU, 임의 쓰기)를 체인으로 엮은 VM 탈출 공격 - ESXi 5.1~8.0 150개 이상 빌드 지원하는 실전용 툴킷 - VSOCKpuppet 백도어로 호스트-게스트 간 자유로운 명령 실행 - 코드 개발은 취약점 공개 1년 전인 2024년 2월부터 시작 ## 인사이트 VM 격리를 신뢰하고 있는 모든 가상화 인프라가 위험함. 하이퍼바이저 레벨 모니터링 없이는 이런 공격을 탐지하기 거의 불가능하다는 게 핵심.