가상화 환경의 보안이 다시 한번 주목받고 있습니다. 2025년 7월 15일, VMware에서 발표한 VMSA-2025-0013 보안 권고는 IT 관리자들에게 즉시 대응이 필요한 중요한 취약점들을 알려왔습니다. 그 중에서도 CVE-2025-41239는 vSockets 통신에서 발생하는 메모리 누출 취약점으로, 민감한 정보가 유출될 수 있는 위험을 안고 있습니다.
이번 글에서는 이 취약점이 무엇인지, 어떤 위험을 가지고 있는지, 그리고 어떻게 안전하게 패치할 수 있는지 차근차근 살펴보겠습니다.
1. CVE-2025-41239 취약점 개요와 발견 배경
CVE-2025-41239는 vSockets의 초기화되지 않은 메모리 사용으로 인한 정보 공개 취약점입니다. 이 취약점은 2025년 독일 베를린에서 개최된 Pwn2Own 2025 해킹 대회에서 STARLabs SG의 보안 연구원 Nguyen Hoang Thach(@hi_im_d4rkn3ss)에 의해 발견되었습니다.
vSockets란 무엇인가요?
vSockets(Virtual Sockets)는 VMware 환경에서 가상머신과 호스트 간, 또는 가상머신들 간의 통신을 위한 프로토콜입니다. 일반적인 네트워크 소켓과 달리, vSockets는 가상화 계층에서 직접 동작하여 더 효율적인 통신을 제공합니다.
취약점의 핵심 원인
이번 취약점의 근본 원인은 vSockets에서 초기화되지 않은 메모리(Uninitialized Memory)를 사용하는 것입니다. 프로그램이 메모리를 할당받을 때 이전에 사용되던 데이터가 남아있을 수 있는데, 이를 제대로 초기화하지 않으면 이전 데이터가 노출될 수 있습니다.
2. 어떤 시스템이 영향을 받는지 정확히 알아보기
CVE-2025-41239의 영향을 받는 제품과 버전은 다음과 같습니다:
영향받는 제품:
- VMware ESXi (모든 7.0.x, 8.0.x 버전)
- VMware Workstation Pro (모든 17.x 버전)
- VMware Fusion (모든 13.x 버전)
- VMware Tools for Windows (11.x, 12.x, 13.x 버전)
주목할 점은 VMware Tools의 경우 Windows 버전에만 영향을 미친다는 것입니다. Linux나 macOS용 VMware Tools는 이 취약점의 영향을 받지 않습니다.
CVSS 점수:
- ESXi, Workstation, Fusion: 7.1 (Important)
- VMware Tools: 6.2 (Moderate)
3. 취약점이 악용될 수 있는 공격 시나리오
CVE-2025-41239를 악용하기 위해서는 다음 조건들이 필요합니다:
필요한 조건:
- 가상머신 내에서 로컬 관리자 권한 (Administrator 또는 root)
- vSockets를 사용하는 프로세스가 실행 중
공격자가 얻을 수 있는 정보:
- 암호화 키 (Cryptographic Keys)
- 커널 포인터 (Kernel Pointers)
- 민감한 메모리 데이터
- 다른 프로세스의 통신 내용
이러한 정보들은 추가적인 공격의 발판이 될 수 있어 매우 위험합니다. 특히 멀티 테넌트 환경이나 클라우드 서비스 제공업체에서는 더욱 심각한 문제가 될 수 있습니다.
4. 단계별 패치 적용 가이드
4-1. 현재 버전 확인하기
패치를 적용하기 전에 먼저 현재 설치된 버전을 확인해야 합니다.
VMware Tools 버전 확인:
Windows에서:
- 시작 메뉴 → 프로그램 및 기능 (Programs and Features) 선택
- VMware Tools 항목에서 버전 확인
- 또는 명령 프롬프트에서:
"C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -v
ESXi 버전 확인:
vmware -v
# 또는 vSphere Client에서 호스트 정보 확인
4-2. 패치 버전 다운로드 및 설치
VMware Tools 패치:
영향받는 Windows용 VMware Tools의 패치 버전은 다음과 같습니다:
| 현재 버전 | 패치 버전 | 다운로드 링크 |
|---|---|---|
| 13.x 계열 | VMware Tools 13.0.1.0 | VMware Tools 다운로드 |
| 12.x, 11.x 계열 | VMware Tools 12.5.3 | VMware Tools 12.5.3 |
설치 절차:
- 관리자 권한으로 다운로드한 설치 파일 실행
- Custom Installation을 선택하여 필요한 구성요소만 설치
- 설치 완료 후 가상머신 재부팅 필수
ESXi 패치:
| ESXi 버전 | 패치 버전 | 빌드 번호 |
|---|---|---|
| ESXi 8.0.x | ESXi80U3f-24784735 | Build 24784735 |
| ESXi 7.0.x | ESXi70U3w-24784741 | Build 24784741 |
ESXi 패치 적용:
- vSphere Client 접속
- 호스트 → 업데이트 (Updates) → 기준선 (Baselines) 메뉴
- 새 패치 기준선 생성 후 적용
- 유지보수 모드 (Maintenance Mode) 진입 후 재부팅
4-3. 패치 적용 후 검증
VMware Tools 검증:
"C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -v
출력 결과에서 버전이 13.0.1.0 이상 또는 12.5.3인지 확인합니다.
ESXi 검증:
vmware -v
esxcli system version get
5. 패치 적용 시 주의사항
5-1. 패치 적용 전 준비사항
백업 수행:
- 가상머신 스냅샷 생성
- ESXi 구성 백업 (
vicfg-cfgbackup) - 중요 데이터 별도 백업
점검 항목:
- 현재 실행 중인 중요 서비스 목록
- 의존성 있는 애플리케이션 확인
- 네트워크 연결성 테스트 계획
5-2. 단계적 패치 적용 전략
대규모 환경에서의 접근법:
- 테스트 환경에서 먼저 패치 적용 및 검증
- 비중요 시스템부터 순차적 적용
- 프로덕션 환경은 유지보수 시간대에 적용
- 각 단계마다 모니터링 및 롤백 계획 준비
6. 추가 보안 강화 방안
CVE-2025-41239 패치와 함께 적용할 수 있는 추가 보안 조치들입니다:
가상머신 보안 설정:
- 불필요한 가상 하드웨어 제거 (VMXNET3 어댑터가 필요없다면 제거)
- Guest OS 방화벽 활성화
- 최소 권한 원칙 적용
ESXi 호스트 보안 강화:
- vSphere 보안 구성 가이드 적용
- ESXi Shell 비활성화
- SSH 접근 제한
- 로그 모니터링 강화
7. 관련 취약점들과의 차이점 이해하기
VMSA-2025-0013에는 CVE-2025-41239 외에도 3개의 추가 취약점이 포함되어 있습니다:
| CVE 번호 | 구성요소 | CVSS 점수 | 위험도 |
|---|---|---|---|
| CVE-2025-41236 | VMXNET3 어댑터 | 9.3 | Critical |
| CVE-2025-41237 | VMCI | 9.3 | Critical |
| CVE-2025-41238 | PVSCSI 컨트롤러 | 9.3 | Critical |
| CVE-2025-41239 | vSockets | 7.1 | Important |
CVE-2025-41239는 다른 세 취약점과 달리 정보 공개에 한정되며, 코드 실행으로 이어지지는 않습니다. 하지만 유출된 정보가 다른 공격의 발판이 될 수 있어 여전히 중요합니다.
8. 패치 적용이 어려운 상황에서의 임시 대응방안
즉시 패치 적용이 어려운 경우:
- 가상머신 격리 강화
- 네트워크 세그멘테이션
- 접근 제어 강화
- 모니터링 강화
- vSockets 관련 로그 모니터링
- 비정상적인 메모리 접근 패턴 탐지
- 최소 권한 정책 적용
- 가상머신 내 관리자 계정 사용 최소화
- 권한 상승 모니터링
주의: 이러한 방법들은 임시 방편이며, 가능한 한 빠른 시일 내에 공식 패치를 적용해야 합니다.
마무리하며, CVE-2025-41239는 즉각적인 시스템 침해로 이어지지는 않지만, 민감한 정보 유출을 통해 추가 공격의 기반을 제공할 수 있는 중요한 취약점입니다. 특히 Windows 환경에서 VMware Tools를 사용하고 있다면 반드시 최신 버전으로 업데이트하시기 바랍니다.