VMware : une nouvelle vulnérabilité renforce la menace sur les environnements ESXi

Le 4 mars dernier, Broadcom alertait de vulnérabilités affectant certaines versions de ses produits de virtualisation, pour postes de travail et serveurs. L’une d’entre elles, concernant ESXi, apparaissait particulièrement préoccupante. Et plus encore aujourd’hui.

Ces vulnérabilités, référencées CVE-2025-22224, CVE-2025-22225, et CVE-2025-22226, affectent certaines versions des produits de virtualisation de Broadcom, pour les postes de travail (VMware Worstation et Fusion) et serveurs (VMware ESXi).

Broadcom les a détaillées dans une notice d’information. Elles concernent ESXi 7.0 et 8.0, VMware Cloud Foundation 4.5 et 5, VMware Telco Cloud Infrastructure 2, 3, 4 et 5, ainsi que VMware Workstation 17 (pour deux des trois) et VMware Fusion 13 (pour la CVE-2025-22226). 

Toutes trois nécessitent, pour leur exploitation, des privilèges élevés. Mais pas sur l’hôte : au sein de la machine virtuelle. La CVE-2025-22225, qui affecte l’hyperviseur, permet d’échapper du bac à sable d’exécution de la machine virtuelle pour remonter à l’hôte : une situation critique qui menace dès lors l’ensemble des machines virtuelles exécutées sur le système. 

Ce scénario est particulièrement préoccupant dans le contexte d’un hébergement multiclient. Il ne va pas sans rappeler, en matière d’impact potentiel, la campagne ESXiArgs de début 2023. Mais ici, la question est moins celle de l’exposition directe de l’hôte de virtualisation sur Internet que celle de ses machines virtuelles et de leur éventuelle compromission.

La compromission d’une seule machine virtuelle peut permettre à l’attaquant de remonter à l’hôte et d’y déployer un rançongiciel pour ESXi habituel et chercher à faire chanter tous les clients affectés.

Manque de chance, une vulnérabilité additionnelle permet d’obtenir les privilèges requis dans une machine virtuelle sous Windows : la CVE-2025-22230. 

Cette vulnérabilité affecte les outils VMware à installer dans la machine virtuelle et permet de contourner les contrôles d’authentification. Comme l’écrit Broadcom dans sa notice d’information, « un acteur malveillant disposant de droits non-administrateur sur une machine virtuelle Windows pourrait obtenir la possibilité d’exécuter certaines opérations nécessitant des privilèges élevés au sein de cette machine virtuelle ».

De quoi donc, en exploitant en chaîne cette vulnérabilité et l’une des précédentes, remonter à l’hyperviseur pour attaquer l’hôte de virtualisation directement. Et menacer toutes les machines virtuelles exécutées par l’hyperviseur. Le correctif est disponible.