VMware vCenter / ESXi 2025 Critical CVE — 2026 Patch Checklist
รวม CVE ที่อันตรายที่สุดของ VMware vCenter และ ESXi ในปี 2025 พร้อม Patch Checklist และลำดับการ Patch ที่แนะนำสำหรับ VMware Admin ในองค์กรไทย
1. ทำไมเรื่องนี้ถึงสำคัญ — สถานะ VMware ในองค์กรไทยหลัง Broadcom#
หลังจาก Broadcom เข้าซื้อ VMware ในปลายปี 2023 ตลาด vSphere ในไทยเผชิญความปั่นป่วนรอบด้าน ทั้งการยกเลิก License แบบ Perpetual, การปรับโครงสร้างราคาเป็น Subscription และการหยุด Support บาง Edition ที่องค์กรขนาดกลางใช้งานอยู่ แต่แม้กระนั้น vSphere Cluster ยังคงเป็น Virtualization Platform หลักในองค์กรไทยจำนวนมาก โดยเฉพาะภาคธนาคาร โรงพยาบาล และหน่วยงานรัฐ
ความท้าทายใหม่ที่เกิดขึ้นพร้อมกันคือ Threat Landscape ที่เปลี่ยนไป กลุ่ม Ransomware ระดับโลกอย่าง Akira, BlackBasta และ LockBit ต่างหันมามุ่งเป้า ESXi Host โดยตรง เพราะการเข้าถึง Hypervisor เพียงเครื่องเดียวหมายถึงการควบคุม Virtual Machine ทั้ง Cluster ในคราวเดียวกัน
ปี 2025 จึงเป็นปีที่ VMware Admin ต้องเผชิญทั้ง ความเสี่ยงด้าน Licensing และ ความเสี่ยงด้าน Security พร้อมกัน บทความนี้รวบรวม CVE ที่อันตรายที่สุดในปี 2025 พร้อม Checklist ที่นำไปใช้ได้จริง
2. CVE ที่ Critical ที่สุดในปี 2025 — ภาพรวม#
| CVE ID | CVSS | Component | Auth Required | CISA KEV | Fixed In |
|---|---|---|---|---|---|
CVE-2025-22224 |
9.3 Critical | ESXi VMCI (TOCTOU) | Local Admin บน VM | ใช่ (มี.ค. 2025) | ESXi 8.0U3d / 7.0U3s |
CVE-2025-22225 |
8.2 High | ESXi VMX Sandbox | VMX Process Privilege | ใช่ (ก.พ. 2026) | ESXi 8.0U3d / 7.0U3s |
CVE-2025-22226 |
7.1 High | ESXi/Workstation HGFS | VMX Process Privilege | ใช่ (มี.ค. 2025) | ESXi 8.0U3d / 7.0U3s |
CVE-2024-37079 |
9.8 Critical | vCenter DCERPC | ไม่ต้องการ (Pre-auth) | ใช่ (ม.ค. 2026) | vCenter 8.0U2d / 7.0U3r |
CVE-2025-41244 |
7.8 High | VMware Tools / Aria Ops | Local Non-Admin บน VM | ใช่ (ต.ค. 2025) | VMware Tools 12.5.4 |
CVE ทั้ง 5 รายการนี้ได้รับการยืนยันจาก Broadcom และ CISA ว่ามีการ Exploit เกิดขึ้นจริงในสภาพแวดล้อมการใช้งาน ไม่ใช่แค่ Proof-of-Concept ในห้องวิจัย
3. CVE-2025-22224 — VM Escape ผ่าน VMCI TOCTOU#
ระดับความอันตราย: Critical (CVSS 9.3)
ช่องโหว่นี้เกิดจาก Race Condition แบบ Time-of-Check Time-of-Use (TOCTOU) ใน Virtual Machine Communication Interface (VMCI) ของ ESXi ที่ทำให้เกิด Heap Overflow ผู้โจมตีที่มีสิทธิ์ Local Administrator บน Virtual Machine สามารถ Exploit ช่องโหว่นี้เพื่อรัน Code ในบริบทของ VMX Process บน ESXi Host ได้โดยตรง
ผลกระทบ: สามารถ Escape จาก VM ออกสู่ Hypervisor ได้ หมายความว่าผู้โจมตีที่ควบคุม VM หนึ่งเครื่องอาจแพร่กระจายไปยัง VM อื่นๆ ทั้งหมดใน Host เดียวกัน
Affected Versions:
- VMware ESXi 7.0 ก่อน
ESXi70U3s-24585291 - VMware ESXi 8.0 ก่อน
ESXi80U3d-24585383และESXi80U2d-24585300 - VMware Workstation 17.x ก่อน 17.6.3
- VMware Cloud Foundation 4.x / 5.x
Mitigation: Patch ทันที ไม่มี Workaround ที่มีประสิทธิภาพสำหรับ Production Environment ถ้ายังไม่สามารถ Patch ได้ ให้จำกัดสิทธิ์ Local Admin บน VM ทุกเครื่องอย่างเข้มงวด
4. CVE-2025-22225 — ESXi Sandbox Escape ผ่าน Arbitrary Write#
ระดับความอันตราย: High (CVSS 8.2)
ช่องโหว่ Arbitrary Write ใน ESXi ที่ผู้โจมตีซึ่งมีสิทธิ์ระดับ VMX Process สามารถ Trigger Kernel Write เพื่อ Escape ออกจาก Sandbox ได้ โดยปกติ CVE นี้จะถูกใช้เป็น ขั้นที่สอง หลังจาก Exploit CVE-2025-22224 ได้สำเร็จ
CISA เพิ่ม CVE นี้ใน Known Exploited Vulnerabilities (KEV) Catalog เมื่อเดือนกุมภาพันธ์ 2026 หลังพบว่ากลุ่ม Ransomware นำไปใช้ในการโจมตีจริง
Affected Versions: เหมือนกับ CVE-2025-22224 (VMSA-2025-0004)
Fixed In: ESXi80U3d-24585383 / ESXi70U3s-24585291
CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 อยู่ใน Advisory เดียวกัน (VMSA-2025-0004) และ Patch เดียวกัน ให้ Apply ครั้งเดียวเพื่อปิดทั้งสามช่องโหว่
5. CVE-2024-37079 — vCenter Pre-Auth RCE ผ่าน DCERPC#
ระดับความอันตราย: Critical (CVSS 9.8) — Pre-Authentication
นี่คือช่องโหว่ที่อันตรายที่สุดใน Checklist นี้เพราะ ไม่ต้องการ Credential ใดๆ ผู้โจมตีที่เข้าถึง Network ของ vCenter Server ได้สามารถส่ง Packet ที่สร้างขึ้นเป็นพิเศษเพื่อ Trigger Heap Overflow ใน DCERPC Protocol Implementation และรัน Code บน vCenter ได้ทันที
ช่องโหว่เกิดจาก Integer Underflow ใน libdcerpc.so เมื่อประมวลผล Bind Acknowledgement Packet ที่มี Presentation Context List มากกว่า 169 รายการ ทำให้เกิดการจัดสรร Heap ขนาดเล็กเกินไปแล้วตามด้วย Buffer Overflow
CISA เพิ่มเข้า KEV Catalog วันที่ 23 มกราคม 2026 พร้อม Federal Remediation Deadline วันที่ 13 กุมภาพันธ์ 2026
Affected Versions:
- vCenter Server 7.x ก่อน
7.0 Update 3r - vCenter Server 8.x ก่อน
8.0 Update 2d - VMware Cloud Foundation 4.x / 5.x
Mitigation: Patch vCenter ก่อนทุก CVE อื่นในรายการนี้ หาก vCenter Server ต้องเชื่อมต่อ Network จากภายนอก ให้ใช้ Firewall จำกัด Source IP ให้เหลือเฉพาะ Management Network ทันทีในขณะรอ Patch
CVE-2024-37079 ถูก Exploit แบบ Zero-Day ก่อนที่ Patch จะออก และยังคงถูกใช้งานอยู่ในปี 2026 เพราะองค์กรจำนวนมากยังไม่ได้ Patch
6. CVE-2025-41244 — VMware Tools Privilege Escalation (Zero-Day ยาวนานกว่า 1 ปี)#
ระดับความอันตราย: High (CVSS 7.8)
ช่องโหว่ Local Privilege Escalation ใน VMware Tools และ VMware Aria Operations ที่ถูกค้นพบว่าถูก Exploit เป็น Zero-Day มาตั้งแต่กลางเดือนตุลาคม 2024 โดยกลุ่มภัยคุกคามที่เชื่อมโยงกับรัฐบาลจีน (UNC5174) ก่อนที่ Broadcom จะ Patch ในเดือนตุลาคม 2025
ผู้โจมตีที่มีสิทธิ์ Non-Admin บน VM ที่ติดตั้ง VMware Tools และจัดการผ่าน Aria Operations (SDMP enabled) สามารถ Escalate Privilege ขึ้นเป็น root บน VM เดียวกันได้
Fixed In: VMware Tools 12.5.4 (Windows), open-vm-tools เวอร์ชันที่ Linux Vendor ปล่อยให้แล้ว
Mitigation: อัปเดต VMware Tools ทุก VM อย่างสม่ำเสมอ ไม่ใช่แค่ ESXi Host และ vCenter
7. ลำดับการ Patch ที่แนะนำ — vCenter ก่อน ESXi ก่อน Guest#
การ Patch ในลำดับที่ถูกต้องช่วยลดความเสี่ยงได้มากกว่าการ Patch สุ่ม:
ขั้นที่ 1 — vCenter Server (ก่อนสุด)
Patch CVE-2024-37079 / CVE-2024-37080 บน vCenter ทุก Node ก่อน เพราะเป็น Pre-Auth RCE ที่เปิดประตูสู่ Infrastructure ทั้งหมด ทำ Snapshot หรือ Backup vCenter Appliance ก่อน Apply และกำหนด Maintenance Window ที่ไม่กระทบ Production
ขั้นที่ 2 — ESXi Host (Rolling Update)
Apply VMSA-2025-0004 (CVE-2025-22224/22225/22226) บน ESXi ทีละ Host แบบ Rolling เพื่อรักษา Cluster Availability โดยใช้ vSphere vMotion ย้าย VM ออกจาก Host ที่กำลัง Patch ก่อนทุกครั้ง
ขั้นที่ 3 — VMware Tools บน Guest VM
อัปเดต VMware Tools ใน Virtual Machine ทุกเครื่องให้เป็นเวอร์ชัน 12.5.4 ขึ้นไป สามารถทำผ่าน vCenter Update Manager หรือ WSUS สำหรับ Windows Guest
ขั้นที่ 4 — ตรวจสอบ VMware Aria Operations
ถ้าใช้งาน Aria Operations ให้ตรวจสอบ Advisory CVE-2025-41244 และ Patch ตาม Release Notes ของ Aria Operations เวอร์ชันที่ใช้งานอยู่
ใช้ vSphere Lifecycle Manager (vLCM) จัดการ Patch ESXi ทั้ง Cluster ผ่าน Baseline Remediation แทนการ Patch แบบ Manual ทีละเครื่อง ช่วยลดเวลาและความผิดพลาดได้มาก
8. ทำไมองค์กรไทยถึงมัก Patch ช้า และจะจัดการอย่างไร#
VMware Admin ในองค์กรไทยส่วนใหญ่ทราบดีถึงความเสี่ยง แต่มีปัจจัยหลายอย่างที่ทำให้การ Patch ล่าช้า:
ปัญหา License หลัง Broadcom
องค์กรที่ยังอยู่ใน License Model เก่า (Perpetual + SnS หมดอายุ) อาจไม่ได้รับ Patch โดยอัตโนมัติ ต้องตรวจสอบสถานะ Support Contract บน Broadcom Support Portal ก่อน และพิจารณา Renew หรือเปลี่ยน License Model
Downtime Budget ที่จำกัด
ระบบ vSphere ใน Hospital หรือ Financial Institution มักไม่มี Maintenance Window ที่ยืดหยุ่น การ Patch ESXi แบบ Rolling จำเป็นต้องมีการวางแผนร่วมกับ Business Owner ล่วงหน้าเป็นสัปดาห์
แนวทางแก้ไขระยะสั้นก่อน Patch:
- ใช้ Firewall / Segment แยก Management Network ของ vCenter และ ESXi ออกจาก Network อื่นทันที จำกัด Port
443,902,2049ให้เข้าถึงได้จาก Jump Host หรือ Management Subnet เท่านั้น - เปิด vSphere Distributed Firewall หรือ NSX Micro-segmentation ถ้ามีใน License
- ตั้ง Alert ใน vCenter สำหรับ Login ผิดปกติหรือ Configuration Change ที่ไม่ได้รับอนุญาต
- ทำ Inventory ตรวจสอบว่า ESXi Host และ vCenter ทุกตัวอยู่บน Version ที่ยังมี Patch Support
สำหรับองค์กรที่กำลังพิจารณาย้าย Platform:
Proxmox VE เป็น Alternative ที่ได้รับความสนใจมากขึ้นในไทยหลัง Broadcom เปลี่ยน Pricing แต่การ Migrate ต้องวางแผนรอบคอบโดยเฉพาะเรื่อง Storage Compatibility และ Network Configuration
9. สรุปและ Action Priority#
| Priority | Action | CVE ที่ปิด | Deadline |
|---|---|---|---|
| P1 — ทำทันที | Patch vCenter เป็น 8.0U2d หรือ 7.0U3r | CVE-2024-37079/80 |
ไม่เกิน 7 วัน |
| P1 — ทำทันที | Apply VMSA-2025-0004 บน ESXi ทุก Host | CVE-2025-22224/25/26 |
ไม่เกิน 14 วัน |
| P2 — ทำเร็ว | อัปเดต VMware Tools ทุก VM | CVE-2025-41244 |
ไม่เกิน 30 วัน |
| P2 — ทำเร็ว | ตรวจสอบ Network Segmentation ของ Management | ทุก CVE | ทำก่อน Patch Window |
| P3 — วางแผน | ทบทวน License Contract กับ Broadcom | — | ไตรมาสนี้ |
ความเสี่ยงจาก VMware CVE ในปี 2025 เกิดขึ้นจริงและมีหลักฐานการ Exploit ชัดเจน ไม่ใช่แค่การแจ้งเตือนเชิงทฤษฎี กลุ่ม Ransomware และ Nation-State Actor ต่างมุ่งเป้า vSphere Infrastructure เพราะ ROI ของการโจมตีสูงมาก — เข้าถึง Hypervisor เครื่องเดียวได้หมายถึงเข้าถึงข้อมูลทั้งองค์กร
สำหรับ VMware Admin ในองค์กรไทย ขอแนะนำให้เริ่มต้นด้วยการตรวจสอบ Version ของ vCenter และ ESXi ทุกตัวในสัปดาห์นี้ และวางแผน Patch Window ก่อนที่ช่องโหว่เหล่านี้จะถูก Exploit ในสภาพแวดล้อมของคุณ
C9NETWORK มีบริการ VMware Security Audit ประเมินสถานะ Patch และ Network Segmentation ของ vSphere Cluster พร้อมรายงาน Remediation Plan ที่นำไปใช้ได้จริง นอกจากนี้ยังมีบริการ Patch Management และให้คำปรึกษาการ Migration จาก VMware ไป Proxmox สำหรับองค์กรที่กำลังประเมินทางเลือก ติดต่อทีมงานได้ที่ c9network.co.th เพื่อนัดหมายประเมินระบบโดยไม่มีค่าใช้จ่าย