Hayden

최근 VMware 가상화 플랫폼에서 발견된 CVE-2025-41237은 VMCI(Virtual Machine Communication Interface)에서 발생하는 integer-underflow 취약점으로, 최대 CVSSv3 점수 9.3의 매우 심각한 보안 문제입니다. 이 취약점은 2025년 5월 Pwn2Own Berlin 해킹 대회에서 처음 시연되었고, 7월 15일 공식 보안 권고사항이 발표되면서 전 세계 VMware 사용자들에게 즉각적인 대응이 필요한 상황이 되었습니다.

특히 이 취약점은 가상머신 내에서 관리자 권한을 가진 공격자가 호스트 시스템으로 코드 실행이 가능한 VM 탈출(VM Escape) 공격을 가능하게 하는 치명적인 보안 허점입니다. ESXi 환경에서는 VMX 샌드박스 내에서 제한되지만, VMware Workstation과 Fusion에서는 호스트 시스템 전체가 위험에 노출될 수 있어 더욱 주의가 필요합니다.

 

 

1. CVE-2025-41237 취약점의 실제 위험성과 영향 범위

CVE-2025-41237은 VMCI(Virtual Machine Communication Interface)에서 발생하는 integer-underflow 취약점으로, out-of-bounds write를 초래합니다. 이는 단순한 보안 문제가 아니라 가상화 환경의 근본적인 격리 경계를 무너뜨릴 수 있는 심각한 위협입니다.

영향을 받는 제품과 버전

제품 영향받는 버전 위험 수준
VMware ESXi 7.0, 8.0 전 버전 VMX 샌드박스 내 제한적
VMware Workstation Pro 17.x 버전 호스트 시스템 완전 노출
VMware Fusion 13.x 버전 호스트 시스템 완전 노출
VMware Tools Windows 11.x, 12.x, 13.x 메모리 정보 유출

ESXi 시스템에서는 exploit이 VMX 샌드박스 내에 제한되어 피해가 상대적으로 제한적이지만, Workstation과 Fusion에서는 성공적인 exploit이 호스트 시스템의 완전한 침해로 이어질 수 있습니다.

공격자의 요구 조건과 공격 시나리오

공격자가 이 취약점을 악용하기 위해서는 다음 조건들이 필요합니다:

  • 가상머신 내에서의 로컬 관리자 권한 (Local Administrative Privileges)
  • VMCI가 활성화된 환경
  • 적절한 exploit 코드

실제 공격 시나리오는 다음과 같습니다: 공격자가 가상머신을 침해한 후 관리자 권한을 획득하고, VMCI의 integer-underflow 취약점을 통해 out-of-bounds write를 수행하여 호스트의 VMX 프로세스에서 악성 코드를 실행하게 됩니다.

 

 

2. 각 VMware 제품별 상세 패치 적용 방법

VMware ESXi 패치 적용 단계

ESXi 8.0 사용자는 ESXi80U3f-24784735 또는 ESXi80U2e-24789317로, ESXi 7.0 사용자는 ESXi70U3w-24784741로 업데이트해야 합니다.

ESXi 8.0 업데이트 방법:

  1. vSphere Client 접속 및 패치 준비
    • vSphere Client에 root 계정으로 로그인
    • 메인 메뉴 (Main Menu) → 호스트 및 클러스터 (Hosts and Clusters) 선택
  2. 업데이트 관리자를 통한 패치 적용
    • 메뉴 (Menu) → 업데이트 관리자 (Update Manager) 클릭
    • 기본 라인 (Baselines) 탭에서 새 기본 라인 만들기 (Create New Baseline) 선택
    • 호스트 패치 (Host Patch) 선택 후 ESXi80U3f-24784735 검색
    • 패치 선택 후 기본 라인에 추가
  3. 호스트 패치 적용 실행
    • 대상 호스트 선택 → 업데이트 (Updates) 탭
    • 수정 (Remediate) 클릭하여 패치 적용 시작
    • 유지보수 모드 (Maintenance Mode) 진입 확인

ESXi 7.0 업데이트 방법:

# SSH 접속을 통한 명령줄 패치 적용
esxcli software profile update -p ESXi-7.0U3w-24784741-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

# 재부팅 수행
reboot

다운로드 링크:

VMware Workstation Pro 17.6.4 업데이트 절차

VMware Workstation Pro를 버전 17.6.4 (Build 24832109)로 업데이트해야 합니다.

자동 업데이트 방법:

  1. VMware Workstation Pro 실행
  2. 도움말 (Help) → 소프트웨어 업데이트 (Software Updates) 클릭
  3. 온라인으로 업데이트 확인 (Check for Updates Online) 선택
  4. 버전 17.6.4 발견 시 다운로드 및 설치 진행

수동 다운로드 및 설치:

  1. Broadcom 지원 포털 접속
  2. 제품 다운로드 (Product Downloads) → VMware Workstation Pro 검색
  3. 버전 17.6.4 선택하여 다운로드
  4. 기존 설치 버전 위에 설치 실행

주의사항: 현재 자동 업데이트 기능에 서버 문제가 있어 수동 다운로드가 더 안정적입니다.

VMware Fusion 13.6.4 macOS 업데이트 가이드

VMware Fusion을 버전 13.6.4 (Build 24832108)로 업데이트하는 과정은 다음과 같습니다:

  1. 현재 버전 확인
    • VMware Fusion 실행
    • VMware Fusion 메뉴 → VMware Fusion 정보 (About VMware Fusion)
  2. 업데이트 실행
    • VMware Fusion 메뉴 → 업데이트 확인 (Check for Updates)
    • 13.6.4 버전 감지 시 자동 다운로드 시작
  3. 설치 완료 및 확인
    • 관리자 권한으로 설치 승인
    • 설치 완료 후 재시작
    • 버전 정보에서 13.6.4 (Build 24832108) 확인

 

 

3. VMware Tools 보안 업데이트 완벽 가이드

VMware Tools는 버전 13.0.1.0으로 업데이트해야 하며, CVE-2025-41239 정보 공개 취약점도 함께 해결됩니다.

Windows 게스트 OS에서의 업데이트

자동 업데이트 방법:

  1. 가상머신에서 Windows 부팅
  2. 시작 메뉴 → VMware Tools → VMware Tools 업데이트 확인
  3. 버전 13.0.1.0 감지 시 다운로드 및 설치

수동 업데이트 방법:

  1. vSphere Client에서 VM 선택
  2. 작업 (Actions) → 게스트 OS (Guest OS) → VMware Tools 설치/업그레이드 (Install/Upgrade VMware Tools)
  3. 완전 설치 (Complete Installation) 선택
  4. 가상머신 내에서 설치 마법사 실행

Linux 게스트 OS 업데이트 절차

# VMware Tools 현재 버전 확인
vmware-toolbox-cmd -v

# 패키지 관리자를 통한 업데이트 (Ubuntu/Debian)
sudo apt update
sudo apt install open-vm-tools open-vm-tools-desktop

# RPM 기반 시스템 (RHEL/CentOS)
sudo yum update open-vm-tools

 

 

4. 패치 적용 후 보안 검증 및 확인 방법

버전 확인을 통한 패치 검증

ESXi 버전 확인:

# SSH 접속 후 버전 확인
vmware -vl

# 설치된 VIB 확인
esxcli software vib list | grep -i vmci

Workstation Pro 버전 확인:

  • 도움말 (Help) → VMware Workstation Pro 정보 (About VMware Workstation Pro)
  • 빌드 번호가 24832109인지 확인

Fusion 버전 확인:

  • VMware Fusion 메뉴 → VMware Fusion 정보 (About VMware Fusion)
  • 빌드 번호가 24832108인지 확인

취약점 스캔을 통한 보안 검증

Qualys 고객은 QID 216348, 216349, 383581, 383582를 사용하여 취약한 자산을 검색할 수 있습니다.

Nessus 스캔 설정:

  1. 새 스캔 생성 → 고급 스캔 (Advanced Scan) 선택
  2. 플러그인 (Plugins) 탭 → VMware 관련 플러그인 활성화
  3. CVE-2025-41237 관련 플러그인 ID 확인 및 실행

 

 

5. 추가 보안 강화 조치 및 모범 사례

네트워크 세분화 및 접근 제어

가상화 환경의 보안을 더욱 강화하기 위해 다음 조치들을 권장합니다:

  • 가상 스위치 보안 설정: 무차별 모드 (Promiscuous Mode) 비활성화
  • 방화벽 규칙 강화: 불필요한 VMCI 통신 차단
  • 권한 최소화: 가상머신 내 관리자 권한 엄격한 관리

지속적인 보안 모니터링

# ESXi 로그 모니터링
tail -f /var/log/vmware/vmkernel.log | grep -i vmci

# 의심스러운 VMCI 활동 탐지
grep "VMCI" /var/log/vmware/vmx-*.log

백업 및 복구 계획 수립

패치 적용 전 반드시 다음 백업을 수행하세요:

  • ESXi 호스트 구성 백업
  • 중요 가상머신 스냅샷 생성
  • vCenter 데이터베이스 백업

 

 

6. 문제 해결 및 롤백 가이드

패치 적용 실패 시 대응 방법

ESXi 패치 롤백:

# 이전 이미지 프로필로 복원
esxcli software profile update -p [이전_프로필명]

# 구성 변경사항 되돌리기
vim-cmd hostsvc/firmware/restore_defaults

Workstation/Fusion 복구:

  1. 제어판 (Control Panel) → 프로그램 및 기능 (Programs and Features)
  2. VMware 제품 선택 → 변경 (Change) → 복구 (Repair) 실행

일반적인 설치 오류 해결

오류: “업데이트 서버에 연결할 수 없음”

  • 해결 방법: 수동 다운로드 후 오프라인 설치 진행

오류: “권한 부족”

  • 해결 방법: 관리자 권한으로 CMD/터미널 실행 후 재시도

 

 

7. 향후 보안 관리 방안 및 권장사항

정기적인 보안 업데이트 계획

Broadcom의 VMware 보안 권고사항을 정기적으로 모니터링하고 다음과 같은 관리 체계를 구축하세요:

  • 월간 보안 패치 검토 및 적용 계획 수립
  • 테스트 환경에서의 사전 검증 후 운영 환경 적용
  • 패치 적용 이력 및 결과 문서화

보안 정보 구독 및 알림 설정

CVE-2025-41237과 관련된 추가적인 기술 문서와 자주 묻는 질문들은 공식 FAQ에서 확인할 수 있습니다.

 

 

댓글 남기기