2025년 7월, VMware 가상화 환경을 사용하시는 분들에게 심각한 보안 경고가 발령되었습니다. CVE-2025-41238로 명명된 이 취약점은 CVSS 점수 9.3의 치명적인 힙 오버플로우 취약점으로, 가상머신에서 호스트 시스템으로의 탈출을 허용할 수 있는 매우 위험한 보안 허점입니다.

이 취약점은 2025년 5월 Pwn2Own Berlin 해킹 대회에서 실제로 악용되었던 제로데이 취약점으로, 현재 패치가 출시된 상황입니다. 오늘은 이 위험한 취약점의 정확한 원인과 완벽한 해결방법을 단계별로 안내해드리겠습니다.

 

 

1. CVE-2025-41238 취약점 정확히 이해하기

CVE-2025-41238은 VMware의 PVSCSI(Paravirtualized SCSI) 컨트롤러에서 발생하는 힙 오버플로우 취약점입니다. 이 취약점이 특히 위험한 이유는 가상머신 내부에서 관리자 권한을 획득한 공격자가 호스트 시스템에서 임의의 코드를 실행할 수 있다는 점입니다.

주요 위험 요소

• CVSS 점수: 9.3 (Critical 등급)
• 영향받는 제품: VMware ESXi, Workstation, Fusion
• 공격 벡터: 로컬 관리자 권한 필요
• 영향 범위: 가상머신 탈출을 통한 호스트 코드 실행

플랫폼별 위험도 차이

• ESXi 환경: VMX 샌드박스 내로 제한되지만, 지원되지 않는 구성에서만 악용 가능
• Workstation/Fusion: 호스트 머신에서 직접 코드 실행 가능 (더 높은 위험)

 

 

2. 영향받는 VMware 제품 및 버전 상세 분석

현재 이 취약점에 영향받는 VMware 제품과 버전을 정확히 파악하는 것이 첫 번째 단계입니다.

ESXi 버전별 영향도

제품	영향받는 버전	패치 버전	다운로드 링크
VMware ESXi 8.0	8.0 U3 이하	ESXi80U3f-24784735	패치 다운로드
VMware ESXi 8.0	8.0 U2 이하	ESXi80U2e-24789317	패치 다운로드
VMware ESXi 7.0	7.0 U3 이하	ESXi70U3w-24784741	패치 다운로드

Desktop 가상화 제품

제품	영향받는 버전	패치 버전
VMware Workstation Pro	17.6.3 이하	17.6.4
VMware Fusion	13.6.3 이하	13.6.4
VMware Tools	13.0.0 이하	13.0.1.0

 

 

3. 즉시 실행해야 할 위험도 확인 방법

패치 적용 전에 현재 환경의 위험도를 먼저 확인해보겠습니다.

ESXi 환경에서 버전 확인 방법

# SSH로 ESXi 호스트 접속 후 실행
vmware -vl

# 또는 웹 관리 인터페이스에서 확인
# https://[ESXi_IP]/ui → Host → Summary

vCenter에서 다중 호스트 확인 방법

1. vSphere Client (HTML5 Client) 접속
2. Hosts and Clusters → 각 호스트 선택
3. Summary 탭에서 VMware ESXi 버전 확인
4. Build Number 24784735 이상인지 확인

Workstation/Fusion 버전 확인

VMware Workstation: Help → About VMware Workstation Pro
VMware Fusion: VMware Fusion → About VMware Fusion

 

 

4. 단계별 완벽 패치 적용 방법

4-1. ESXi 환경 패치 적용 (Production 환경)

사전 준비사항

• 백업 완료: vCenter 및 모든 가상머신 백업
• 점검 시간 확보: 최소 2-4시간의 다운타임 계획
• 롤백 계획: 기존 설정 백업 및 복구 절차 준비

ESXi 8.0 패치 적용 순서

1. 패치 다운로드 및 업로드

   # ESXi 호스트에 SSH 접속
   cd /tmp
   
   # 패치 파일 업로드 (SCP 또는 datastore 업로드)
   # ESXi80U3f-24784735 패치의 경우
   
   # 패치 설치 전 점검
   esxcli software profile get
   

2. 유지보수 모드 진입

   # 명령어를 통한 유지보수 모드 진입
   vim-cmd hostsvc/maintenance_mode_enter
   
   # 또는 vSphere Client에서:
   # Host → Actions → Enter Maintenance Mode
   

3. 패치 설치 실행

   # ZIP 파일을 통한 패치 설치
   esxcli software profile update -d /tmp/[패치파일명].zip -p [프로파일명]
   
   # 예시:
   esxcli software profile update -d /tmp/ESXi80U3f-24784735.zip -p ESXi-8.0.3-24784735-standard
   

4. 재부팅 및 검증

   # 시스템 재부팅
   reboot
   
   # 재부팅 후 버전 확인
   vmware -vl
   

ESXi 7.0 패치 적용 방법

ESXi 7.0 사용자는 ESXi70U3w-24784741 패치를 다음과 같이 적용합니다:

# ESXi 7.0 전용 패치 명령어
esxcli software profile update -d /tmp/ESXi70U3w-24784741.zip -p ESXi-7.0.3-24784741-standard

4-2. VMware Workstation Pro 17.6.4 업그레이드

1. 현재 버전 백업
   • 가상머신 파일 전체 백업
   • 설정 파일 백업 (preferences.ini, vmx 파일 등)
2. 최신 버전 다운로드
   • VMware Workstation Pro 17.6.4 공식 다운로드
3. 업그레이드 실행

   # Windows 환경에서 관리자 권한으로 실행
   VMware-workstation-17.6.4.exe
   

4. 업그레이드 후 검증
   • Help → About VMware Workstation Pro에서 17.6.4 버전 확인
   • 기존 가상머신 정상 작동 확인

4-3. VMware Fusion 13.6.4 업그레이드 (macOS)

1. 다운로드 및 설치

   # 터미널에서 확인
   /Applications/VMware\ Fusion.app/Contents/MacOS/vmware-vmx --version
   

2. 자동 업데이트 활성화
   • VMware Fusion → Preferences → Software Update
   • Check for updates automatically 체크

 

 

5. VMware Tools 보안 업데이트 필수 적용

CVE-2025-41239와 연계하여 VMware Tools도 반드시 업데이트해야 합니다.

Windows 가상머신 VMware Tools 업데이트

1. vSphere Client에서 업데이트
   • 가상머신 선택 → Actions → Guest OS → Install/Upgrade VMware Tools
2. 수동 다운로드 및 설치
   • VMware Tools 13.0.1.0 다운로드

Linux 가상머신 VMware Tools 업데이트

# Ubuntu/Debian 환경
sudo apt update && sudo apt install open-vm-tools

# RHEL/CentOS 환경  
sudo yum update open-vm-tools

 

 

6. 패치 적용 후 보안 검증 방법

취약점 스캔 도구 활용

Qualys VMDR 사용자는 다음 QID로 스캔 가능:

• QID 216348: CVE-2025-41236 (VMXNET3)
• QID 216349: CVE-2025-41237 (VMCI)
• QID 383581: CVE-2025-41238 (PVSCSI)
• QID 383582: CVE-2025-41239 (vSockets)

수동 검증 방법

# ESXi 환경에서 패치 적용 확인
esxcli software profile get | grep "Build Profile"

# Build Number가 다음 이상인지 확인:
# ESXi 8.0: 24784735 이상
# ESXi 7.0: 24784741 이상

 

 

7. 추가 보안 강화 조치

네트워크 분할 및 접근 제어

1. 관리 네트워크 분리
   • vMotion, vSAN, 관리 트래픽 전용 VLAN 구성
   • 방화벽을 통한 관리 포트 접근 제한
2. vCenter 접근 제한

   # vCenter Server 방화벽 설정
   Port 443 (HTTPS): 관리자 IP 대역만 허용
   Port 22 (SSH): 필요시에만 활성화
   

가상머신 보안 설정 강화

# VMX 파일에 추가할 보안 설정
isolation.tools.copy.disable = "TRUE"
isolation.tools.paste.disable = "TRUE"
isolation.tools.setGUIOptions.enable = "FALSE"
RemoteDisplay.maxConnections = "1"

 

 

8. 긴급 대응이 어려운 경우 임시 방어 조치

PVSCSI 사용 중단 (임시 조치)

패치 적용이 즉시 어려운 경우, PVSCSI 컨트롤러 사용을 일시적으로 중단할 수 있습니다:

1. 가상머신 종료
2. 가상머신 설정 편집 → 하드웨어 → Hard Disk
3. SCSI Controller 유형을 LSI Logic SAS 또는 LSI Logic Parallel로 변경
4. 가상머신 재시작

주의: 이는 성능 저하를 야기할 수 있는 임시 조치입니다.

네트워크 접근 제한 강화

# ESXi 방화벽 설정 강화
esxcli network firewall ruleset set --ruleset-id sshServer --enabled false
esxcli network firewall ruleset set --ruleset-id ntpClient --enabled false

 

 

9. 클라우드 환경별 대응 방안

AWS VMware Cloud on AWS

AWS VMC 환경에서는 VMware가 직접 패치를 관리하므로:

• VMC Console에서 패치 스케줄 확인
• 자동 패치 업데이트 설정 활성화

Azure VMware Solution

Microsoft는 이미 패치 일정을 공지했습니다:

• 30일 내 완전 패치 완료 약속
• 신규 배포 환경은 패치 적용 상태로 제공

Google Cloud VMware Engine

• Google Cloud Console에서 패치 스케줄 확인
• GCP 보안 공지 참조

 

 

10. 장기적 보안 관리 방안

자동 패치 관리 체계 구축

1. vSphere Lifecycle Manager 활용
   • 클러스터 이미지 관리 기능으로 일관된 패치 적용
   • Rolling Update 방식으로 무중단 패치 적용
2. VMware vSphere Update Manager 구성

   # Update Manager 자동 다운로드 설정
   Admin → System Configuration → Patch Download → Enable Automatic Download
   

보안 모니터링 강화

• VMware Aria Operations for Logs 도입
• SIEM 솔루션과 연동한 실시간 위협 탐지
• 정기적인 취약점 스캔 일정 수립