Vulnerabilitățile din VMware sunt exploatate în mod activ

Un val de atacuri ransomware vizează vulnerabilități critice ale sistemului de virtualizare VMware. Atacatorii exploatează erori ale produselor ESXi, Workstation și Fusion.

Vulnerabilitățile CVE-2025-22224 (CvSS 9.3/10), CVE-2025-22225 (CvSS 8.2/10) și CVE-2025-22226 (CvSS 7.1/10) permit atacatorilor să evite limitarea mașinilor virtuale (VM), să deturneze hipervizoare și să implementeze ransomware în clustere întregi.

Specialiștii au sesizat că peste 41500 de hypervizoare VMware ESXi expuse în internet sunt vulnerabile la CVE-2025-22224, o vulnerabilitate critică de tip zero-day exploatată activ în atacuri.

CVE-2025-22224 este o vulnerabilitate de tip heap overflow în driverul VMCI al VMware ce permite atacatorilor cu privilegii de administrator VM să execute cod pe procesul VMX al host-ului.

Atacatorii exploatează apoi CVE-2025-22225, o vulnerabilitate de tip arbitrary write, pentru a escalada  privilegiile și a obține controlul la nivel de kernel al host-urilor ESXi.

În cele din urmă, CVE-2025-22226 facilitează obținerea de credențiale prin intermediul erorilor de tip memory leaks a hypervisorului, permițând un atac de tip lateral movement către vCenter și alte sisteme critice.

Atacul începe cu pătrunderea într-o mașină virtuală conectată la internet, adesea prin intermediul unor shell-uri web sau al unor credențiale sustrase.

De la hypervizor, atacatorii se orientează către vCenter prin SSH sau exploatează vulnerabilități neremediate, adesea utilizând reguli de firewall lax inter-subnet.

Broadcom a lansat următoarele versiuni remediate pentru produsele VMware afectate:

• VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300;
• VMware ESXi 7.0: ESXi70U3s-24585291;
• VMware ESXi 6.7: ESXi670-202503001;
• VMware Workstation 17.x: 17.6.3;
• VMware Fusion 13.x: 13.6.3.

Se recomandă cu tărie utilizatorilor aplicarea celor mai recente patch-uri disponibile.

Sursă: https://cybersecuritynews.com/vmware-vulnerabilities-exploited-ransomware/