![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
В компании Orion Soft обнаружили серьёзную уязвимость в гипервизоре VMware ESXi, которая уже используется в реальных атаках. При этом устранить её из России невозможно. Для успешной эксплуатации требуется наличие внутреннего нарушителя либо предварительное проникновение в инфраструктуру — например, с помощью фишинговых инструментов.
Об угрозе сообщил ТАСС со ссылкой на Orion Soft. Уязвимость позволяет потенциальному злоумышленнику выполнить произвольный код на уровне ядра и выйти за пределы изолированной виртуальной среды.
Как пояснили в Orion Soft, компрометация даже одной виртуальной машины может привести к быстрому распространению атаки за счёт захвата контроля над гипервизором. В этом случае злоумышленники получают возможность оперативно зашифровать или уничтожить содержимое дисков.
Уязвимость была выявлена в марте 2025 года и устранена спустя две недели. Однако загрузить обновление можно только через специальный портал, недоступный с российских IP-адресов. Возможные способы обхода блокируются вендором, а каждая загрузка осуществляется по индивидуальной ссылке, которую можно отследить.
По оценке директора по развитию бизнеса Orion Soft Максима Березина, сейчас под управлением VMware находятся около 80 тыс. хостов — примерно две трети от инсталляционной базы 2022 года. При этом на большинстве из них используются устаревшие версии ПО, поддержка которых завершилась ещё в октябре 2025 года. Для таких версий не выпускаются даже патчи, закрывающие критические уязвимости. Российские гипервизоры применяются лишь на отдельных участках инфраструктуры.
В январе 2026 года ФСТЭК России выпустила рекомендации по безопасной настройке VMware. Документ ориентирован прежде всего на государственные организации и объекты критической информационной инфраструктуры.
