2025년 7월 15일, Broadcom에서 발표한 VMSA-2025-0013 보안 권고사항은 VMware 가상화 환경 관리자들에게 큰 충격을 안겨주었습니다. 특히 CVE-2025-41236는 CVSS 점수 9.3의 치명적인 취약점으로, 가상머신에서 호스트로의 탈출(VM Escape)을 가능하게 하는 심각한 보안 위험을 내포하고 있습니다. 이번 글에서는 CVE-2025-41236의 위험성부터 구체적인 패치 방법까지, 실무에서 바로 적용할 수 있는 완전한 가이드를 제공해드리겠습니다.

 

 

1. CVE-2025-41236이 이렇게 위험한 이유

CVE-2025-41236은 VMware의 VMXNET3 가상 네트워크 어댑터에서 발생하는 정수 오버플로우(Integer Overflow) 취약점입니다. 이 취약점이 특히 위험한 이유는 다음과 같습니다:

가상머신 탈출 가능성

• 가상머신 내에서 관리자 권한을 획득한 공격자가 호스트 시스템에서 임의 코드 실행 가능
• 클라우드 환경에서는 다른 고객의 가상머신에까지 영향을 미칠 수 있는 치명적 위험
• 전체 가상화 인프라의 보안이 무너질 수 있는 심각한 상황

광범위한 영향 범위

VMXNET3은 VMware에서 가장 널리 사용되는 가상 네트워크 어댑터입니다. 따라서 이 취약점은:

• 대부분의 VMware 환경에서 기본적으로 사용
• 멀티테넌트 환경에서 테넌트 간 격리 무력화
• 서비스 제공업체 환경에서 고객 데이터 노출 위험

 

 

2. 어떤 VMware 제품들이 위험에 노출되어 있나

CVE-2025-41236에 영향을 받는 제품들은 다음과 같습니다:

제품명	영향받는 버전	패치된 버전
VMware ESXi 8.0	8.0 ~ 8.0 U3e	ESXi80U3f-24784735
VMware ESXi 7.0	7.0 ~ 7.0 U3v	ESXi70U3w-24784741
VMware Workstation Pro	17.x	17.6.4
VMware Fusion	13.x	13.6.4
VMware Cloud Foundation	5.x, 4.5.x	KB88287 참조
VMware vSphere Foundation	영향받음	최신 패치 적용

중요 참고사항: Non-VMXNET3 가상 어댑터는 이 취약점의 영향을 받지 않습니다. 하지만 대부분의 환경에서 VMXNET3을 기본값으로 사용하고 있어 주의가 필요합니다.

 

 

3. 내 환경이 취약한지 빠르게 확인하는 방법

VMXNET3 어댑터 사용 여부 확인

vSphere Client(vSphere 클라이언트)에서 다음 단계로 확인할 수 있습니다:

1. 가상머신 우클릭 → 설정 편집(Edit Settings) 클릭
2. 네트워크 어댑터(Network Adapter) 섹션 확인
3. **어댑터 유형(Adapter Type)**에서 VMXNET3 표시 여부 확인

PowerCLI를 통한 일괄 확인

대규모 환경에서는 PowerCLI 스크립트로 효율적으로 확인 가능합니다:

# 모든 가상머신의 VMXNET3 어댑터 사용 현황 확인
Get-VM | Get-NetworkAdapter | Where-Object {$_.Type -eq "Vmxnet3"} | 
Select-Object Parent, Name, Type | Format-Table -AutoSize

 

 

4. ESXi 호스트 패치 방법 – vCenter Update Manager 활용

4.1 vSphere Lifecycle Manager를 통한 패치 (권장 방법)

1단계: 베이스라인 생성

1. vSphere Client → 라이프사이클 관리자(Lifecycle Manager) 접속
2. 베이스라인(Baselines) → 새 베이스라인(New Baseline) 클릭
3. 패치 베이스라인(Patch Baseline) 선택
4. 이름: “VMSA-2025-0013 Critical Patches” 입력
5. 동적(Dynamic) 베이스라인 유형 선택
6. 심각도(Severity): Critical 선택

2단계: 호스트 준수성 검사

1. 호스트 및 클러스터(Hosts and Clusters) 뷰로 이동
2. 대상 호스트 선택 → 업데이트(Updates) 탭
3. 준수성 확인(Check Compliance) 클릭
4. 누락된 패치 목록에서 ESXi80U3f-24784735 또는 ESXi70U3w-24784741 확인

3단계: 패치 적용

1. 수정(Remediate) 버튼 클릭
2. 유지보수 모드(Maintenance Mode) 진입 옵션 확인
3. 가상머신 마이그레이션(Migrate VMs) 설정 (클러스터 환경인 경우)
4. 수정 시작(Start Remediation) 클릭

4.2 명령줄을 통한 직접 패치

SSH를 통해 ESXi 호스트에 직접 접속하여 패치하는 방법입니다:

1단계: 유지보수 모드 진입

# ESXi 호스트를 유지보수 모드로 전환
esxcli system maintenanceMode set --enable true

2단계: 패치 파일 업로드

1. Broadcom 지원 포털에서 해당 패치 ZIP 파일 다운로드
2. 데이터스토어에 업로드 (예: datastore1)

3단계: 패치 설치

ESXi 8.0용:

# 패치 프로파일 업데이트
esxcli software profile update -d /vmfs/volumes/datastore1/VMware-ESXi-8.0U3f-24784735-depot.zip -p ESXi-8.0U3f-24784735-standard

# 시스템 재부팅
reboot

ESXi 7.0용:

# 패치 프로파일 업데이트
esxcli software profile update -d /vmfs/volumes/datastore1/VMware-ESXi-7.0U3w-24784741-depot.zip -p ESXi-7.0U3w-24784741-standard

# 시스템 재부팅
reboot

4단계: 유지보수 모드 해제

# 재부팅 후 유지보수 모드 해제
esxcli system maintenanceMode set --enable false

 

 

5. VMware Workstation과 Fusion 업데이트 방법

Workstation Pro 17.6.4 업데이트

1. 도움말(Help) → 업데이트 확인(Check for Updates) 클릭
2. 자동 업데이트가 감지되지 않는 경우:
   • Broadcom 지원 포털에서 수동 다운로드
   • 기존 설치 위에 업그레이드 설치

Fusion 13.6.4 업데이트

1. VMware Fusion → 업데이트 확인(Check for Updates) 클릭
2. 수동 업데이트가 필요한 경우:
   • Broadcom 지원 포털에서 다운로드
   • 설치 후 기존 가상머신 호환성 확인

 

 

6. VMware Tools 업데이트로 추가 보안 강화

CVE-2025-41239는 VMware Tools의 vSockets 구성 요소에 영향을 미칩니다. Windows 게스트 OS에서 실행되는 VMware Tools가 특히 영향을 받습니다.

자동 VMware Tools 업데이트 설정

1. 가상머신 우클릭 → 게스트 OS(Guest OS) → VMware Tools 설치/업그레이드(Install/Upgrade VMware Tools)
2. 설정(Options) 탭 → VMware Tools → 업그레이드 정책(Upgrade Policy)
3. 설치 시 자동 업그레이드(Upgrade automatically) 선택

PowerCLI를 통한 일괄 업데이트

# 모든 가상머신의 VMware Tools 업데이트
Get-VM | Where-Object {$_.PowerState -eq "PoweredOn"} | 
Update-Tools -NoReboot

 

 

7. 패치 적용 후 반드시 확인해야 할 보안 검증 항목

패치 적용 성공 여부 확인

# ESXi 빌드 번호 확인
vmware -v

# 예상 결과:
# ESXi 8.0: VMware ESXi 8.0.3 build-24784735
# ESXi 7.0: VMware ESXi 7.0.3 build-24784741

VMXNET3 드라이버 버전 확인

# VMXNET3 드라이버 정보 확인
esxcli software vib list | grep vmxnet3

가상머신 네트워크 연결 테스트

패치 적용 후 모든 가상머신의 네트워크 연결이 정상 작동하는지 확인이 필요합니다:

1. 각 가상머신에서 핑(Ping) 테스트 실행
2. 네트워크 처리량 확인
3. 애플리케이션 서비스 정상 작동 검증

 

 

8. 예방을 위한 정기적인 보안 업데이트 자동화 구축

vSphere Lifecycle Manager 정책 설정

1. 정책(Policies) → 새 정책(New Policy) 생성
2. 자동 수정(Auto-remediation) 옵션 활성화
3. 유지보수 창(Maintenance Window) 설정
4. 알림(Notifications) 구성

PowerCLI 자동화 스크립트 예시

# 주간 보안 패치 확인 및 알림 스크립트
$clusters = Get-Cluster
foreach ($cluster in $clusters) {
    $compliance = Get-Compliance -Entity $cluster
    if ($compliance.Status -ne "Compliant") {
        Send-MailMessage -To "admin@company.com" -Subject "Security Patch Required" -Body "Cluster $cluster requires security updates"
    }
}

 

 

CVE-2025-41236는 VMware 가상화 환경에 심각한 위협을 가하는 치명적인 취약점입니다. 하지만 이번 가이드에서 제시한 체계적인 패치 방법과 보안 강화 조치를 따른다면, 안전하고 효율적으로 위험을 제거할 수 있습니다.

핵심은 신속한 대응입니다. 이 취약점은 Pwn2Own Berlin 2025에서 실제로 악용이 입증된 만큼, 지금 당장 패치 적용을 시작하시기 바랍니다. 🙂

 

---

주요 참고 자료

• Broadcom VMSA-2025-0013 공식 보안 권고
• VMware ESXi 8.0 U3f 릴리스 노트
• VMware ESXi 7.0 U3w 릴리스 노트
• VMSA-2025-0013 FAQ