Broadcom a corrigé trois vulnérabilités dans l’hyperviseur VMware ESXi et les produits connexes, avec Microsoft rapportant les défauts sont activement exploités pour prendre le contrôle des systèmes hôtes.
Broadcom a publié des correctifs d’urgence pour ses produits VMware ESXi, ses postes de travail et ses produits de fusion pour réparer trois vulnérabilités qui peuvent conduire à une évasion de la machine virtuelle et sont activement exploitées par les attaquants. Les produits qui incluent VMware ESXi, tels que VMware vSphere, VMware Cloud Foundation et VMware Telco Cloud Platform, sont également affectés.
Les produits VMware, en particulier l’hyperviseur d’entreprise ESXi, sont des cibles de grande valeur et ont été attaqués à plusieurs reprises par des groupes cybercriminaux et de cyberespionnage au fil des ans. Les hyperviseurs, ou moniteurs de machines virtuels, sont le logiciel de virtualisation utilisé pour créer et exécuter des machines virtuelles.
Virtual Machine s’échappe, dans lequel un attaquant ayant accès à une machine virtuelle invités peut prendre le contrôle de l’ensemble du serveur hôte, sont les attaques d’hyperviseur les plus graves car elles violent le principe de sécurité de base que la virtualisation est censée offrir: isolement complet entre les systèmes d’exploitation invités et le système d’exploitation hôte.
Les trois vulnérabilités qui composent cette chaîne d’exploitation ont été signalées à Broadcom par Microsoft Threat Intelligence Center, une équipe dont la tâche principale est de suivre les acteurs et les attaques de menace. Broadcom a déclaré avoir reçu des informations pour suggérer que l’exploitation de ces défauts s’était produite dans la nature.
Les trois défauts ont un impact VMware ESXi ainsi que les solutions Enterprise construites sur elle, mais deux défauts ont également un impact sur l’hyperviseur VMware Workstation Pro pour Windows et Linux et on affecte l’hyperviseur VMware Fusion pour MacOS.
Bogues de mémoire enchaînées
La première vulnérabilité, suivie sous forme de CVE-2025-22224, est située dans l’interface de communication virtuelle (VMCI), un périphérique qui est présent dans toutes les machines virtuelles VMware et gère la communication basée sur les socket d’interprocesse.
Broadcom décrit ce défaut comme une vulnérabilité TOTTOU (temps d’usage) qui peut provoquer une écriture de mémoire hors limites menant à un débordement de tas. La faille affecte l’ESXi et le poste de travail et peut être exploitée par un attaquant avec des privilèges d’administrateur dans une machine virtuelle invitée pour exécuter du code arbitraire dans le contexte du processus VMX sur l’hôte. Pour cette raison, il est évalué avec un score de gravité de 9,3 (critique) sur l’échelle CVSS.
La deuxième vulnérabilité, CVE-2025-22225, est une vulnérabilité d’écriture arbitraire qui a un impact sur l’ESXi et peut permettre à un attaquant avec des privilèges dans le processus VMX de sandbox – comme ceux fournis par la première vulnérabilité – d’écrire dans la mémoire du noyau. Il s’agit essentiellement d’une escalade de privilège menant à une évasion de bac à sable. La faille est évaluée avec un score de gravité de 8,2 (élevé).
La troisième vulnérabilité, CVE-2025-22226, est une mémoire hors limites lue dans le composant HGFS qui peut entraîner une divulgation d’informations. Les attaquants avec des privilèges administratifs dans une machine virtuelle peuvent exploiter ce défaut pour fuir la mémoire du processus VMX. La vulnérabilité a un impact sur VMware ESXi, le poste de travail et la fusion et a un score de gravité de 7,1 (haut).
Remédiation
Il n’y a pas de solution de contournement réalisable pour ces vulnérabilités, sauf pour le déploiement des correctifs publiés. Les clients VMware ESXi peuvent installer VMware ESXi 8.0 Update 3D, VMware ESXI 8.0 Update 2D ou VMware ESXi 7.0 Update 3S, selon leur édition. Les ESX 6.5 et 6.7 ont également publié des correctifs, mais ceux-ci ne sont disponibles que pour les clients avec des contrats de support prolongés.
« Broadcom recommande l’utilisation de vMotion pour déplacer des machines virtuelles à des hôtes alternatifs pendant que vous mettez à jour, de manière » Rolling Reboot « », a déclaré la société dans un document de la FAQ. «Les machines virtuelles qui n’utilisent pas de vMotion devront être alimentées pendant le redémarrage de l’hôte.»
Les entreprises exécutant VMware vSphere (7.x et 8.x), VMware Cloud Foundation (4.5.x et 5.x), VMware Telco Cloud Platform (2.x via 5.x) et VMware Telco Cloud Infrastructure (2.x et 3.x) doivent déployer les correctifs ESXI qui correspondent à l’édition incluse dans leurs produits. Broadcom a fourni des documents de support individuels avec des instructions pour ces produits dans son avis.
VMware Workstation 17.x Les utilisateurs doivent passer à 17.6.3 et VMware Fusion 13.x Les utilisateurs doivent passer à la version 13.6.3.
