mdbildes - stock.adobe.com

Actualites

VMware : des vulnérabilités activement exploitées, dont une pour ESXi

Le 4 mars, Broadcom a alerté de vulnérabilités affectant certaines versions de ses produits de virtualisation, pour postes de travail et serveurs. Celle qui concerne ESXi apparaît particulièrement préoccupante.

Valéry Rieß-Marchive
par
Publié le: 06 mars 2025

L’agence américaine de la cybersécurité et de la sécurité des infrastructures, la Cisa, vient de les ajouter à sa liste des vulnérabilités connues pour être activement exploitées. Il s’agit des CVE-2025-22224, CVE-2025-22225, et CVE-2025-22226.

Ces vulnérabilités affectent certaines versions des produits de virtualisation de Broadcom, pour les postes de travail (VMware Worstation et Fusion) et serveurs (VMware ESXi).

Broadcom les a détaillées dans une notice d’information. Elles concernent ESXi 7.0 et 8.0, VMware Cloud Foundation 4.5 et 5, VMware Telco Cloud Infrastructure 2, 3, 4 et 5, ainsi que VMware Workstation 17 (pour deux des trois) et VMware Fusion 13 (pour la CVE-2025-22226). 

Toutes trois nécessitent, pour leur exploitation, des privilèges élevés. Mais pas sur l’hôte : au sein de la machine virtuelle. La CVE-2025-22225, qui affecte l’hyperviseur, permet d’échapper du bac à sable d’exécution de la machine virtuelle pour remonter à l’hôte : une situation critique qui menace dès lors l’ensemble des machines virtuelles exécutées sur le système. 

Ce scénario est particulièrement préoccupant dans le contexte d’un hébergement multiclient. Il ne va pas sans rappeler, en matière d’impact potentiel, la campagne ESXiArgs de début 2023. Mais ici, la question est moins celle de l’exposition directe de l’hôte de virtualisation sur Internet que celle de ses machines virtuelles et de leur éventuelle compromission.

La compromission d’une seule machine virtuelle peut permettre à l’attaquant de remonter à l’hôte et d’y déployer un rançongiciel pour ESXi habituel et chercher à faire chanter tous les clients affectés.

Des correctifs sont disponibles et Broadcom encourage ses clients à les déployer, malgré l’indisponibilité que le processus entraînera. Le chercheur Kevin Beaumont relève qu’un code d’exploitation pour ces vulnérabilités pourrait avoir été mis en vente il y a déjà quelques semaines. L’annonce qu’il mentionne fait bien état d’une évasion de machine virtuelle vers l’hyperviseur, sans qu’il soit possible de confirmer qu’il s’agisse bien des vulnérabilités ici considérées.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)