Broadcom a averti ses clients aujourd’hui de trois jours zéro VMware, étiquetés comme exploités dans des attaques et signalés par le Centre de renseignements sur les menaces de Microsoft.
Les vulnérabilités (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226) affectent les produits VMware ESX, notamment VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation et Telco Cloud Platform.
Les attaquants disposant d’un accès administrateur privilégié ou root peuvent enchaîner ces failles pour échapper au bac à sable de la machine virtuelle.
« Il s’agit d’une situation dans laquelle un attaquant qui a déjà compromis le système d’exploitation invité d’une machine virtuelle et obtenu un accès privilégié (administrateur ou root) pourrait se déplacer dans l’hyperviseur lui-même », a expliqué la société aujourd’hui. « Broadcom dispose d’informations suggérant que l’exploitation de ces problèmes s’est produite « dans la nature ». »
Broadcom indique que CVE-2025-22224 est une vulnérabilité de débordement de tas VCMI de gravité critique qui permet aux attaquants locaux disposant de privilèges administratifs sur la machine virtuelle ciblée d’exécuter du code en tant que processus VMX s’exécutant sur l’hôte.
CVE-2025-22225 est une vulnérabilité d’écriture arbitraire ESXi qui permet au processus VMX de déclencher des écritures arbitraires du noyau, entraînant une évasion du bac à sable, tandis que CVE-2025-22226 est décrite comme une faille de divulgation d’informations HGFS qui permet aux acteurs de la menace disposant des autorisations d’administrateur de fuir la mémoire du processus VMX.
Un porte-parole de Microsoft n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour plus d’informations sur ces trois jours zéro.
Les vulnérabilités VMware sont souvent ciblées dans les attaques des gangs de ransomwares et des groupes de piratage parrainés par l’État, car elles sont couramment utilisées dans les opérations d’entreprise pour stocker ou transférer des données d’entreprise sensibles.
Plus récemment, Broadcom a averti en novembre que des attaquants exploitaient activement deux vulnérabilités VMware vCenter Server corrigées en septembre. L’un permet l’escalade des privilèges vers le root (CVE-2024-38813) tandis que l’autre est une faille critique d’exécution de code à distance (CVE-2024-38812) signalée lors du concours de piratage de la Matrix Cup 2024 en Chine.
En janvier 20204, Broadcom a également révélé que des pirates informatiques de l’État chinois avaient exploité une vulnérabilité critique de vCenter Server (CVE-2023-34048) en tant que jour zéro depuis au moins la fin de 2021 pour déployer des portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi vulnérables.