Plus de 37 000 serveurs VMware ESXi vulnérables aux attaques en cours

Plus de 37 000 instances VMware ESXi exposées à Internet sont vulnérables à CVE-2025-22224, une faille d’écriture critique hors limites qui est activement exploitée dans la nature.

Cette exposition massive est signalée par la plateforme de surveillance des menaces Shadowserver Foundation, qui a rapporté un chiffre d’environ 41 500 hier.

Aujourd’hui, ShadowServer signale maintenant que 37 000 sont toujours vulnérables, indiquant que 4 500 appareils ont été corrigés hier.

We are scanning & reporting out VMware ESXi CVE-2025-22224 vulnerable instances ("a malicious actor with local admin privileges on a virtual machine may exploit this to execute code as virtual machine's VMX process running on host").

Nearly 41.5K found vulnerable on 2025-03-04. pic.twitter.com/N3A78S5ClY

— The Shadowserver Foundation (@Shadowserver) March 5, 2025

CVE-2025-22224 est une vulnérabilité de débordement de tas VCMI de gravité critique qui permet aux attaquants locaux disposant de privilèges administratifs sur l’invité de la machine virtuelle d’échapper au bac à sable et d’exécuter du code sur l’hôte en tant que processus VMX.

Broadcom a averti les clients à ce sujet ainsi que deux autres failles, CVE-2025-22225 et CVE-2025-22226, le mardi 4 mars 2025, informant que les trois étaient exploitées dans des attaques en tant que zero-days.

Les failles ont été découvertes par Microsoft Threat Intelligence Center, qui a observé leur exploitation comme zéro jour pendant une période non divulguée. De plus, aucune information sur l’origine des attaques et les cibles n’a encore été partagée.

La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a donné aux agences fédérales et aux organisations d’État jusqu’au 25 mars 2025 pour appliquer les mises à jour et les atténuations disponibles ou cesser d’utiliser le produit.

La Fondation Shadowserver rapporte que la plupart des instances vulnérables se trouvent en Chine (4 400), suivies de la France (4 100), des États-Unis (3 800), de l’Allemagne (2 800), de l’Iran (2 800) et du Brésil (2 200).

Cependant, en raison de l’utilisation généralisée de VMware ESXi, un hyperviseur populaire utilisé pour la virtualisation dans les environnements informatiques d’entreprise pour la gestion des machines virtuelles, l’impact est mondial.

Pour plus d’informations sur les versions d’ESXi qui corrigent CVE-2025-22224, il est recommandé aux utilisateurs de consulter le bulletin de Broadcom. Actuellement, il n’existe aucune solution de contournement pour ce problème.

Le fournisseur a également publié une page FAQ permettant aux utilisateurs de partager des recommandations d’action supplémentaires et des détails sur l’impact.