SecAtor

Broadcom выкатилась со срочным бюллетенем и предупреждает клиентов о трех 0-day VMware, которые были выявлены в ходе реальных атак, о чем сообщили исследователи Microsoft.

CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.

Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.

По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.

CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.

Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.

И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.

Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.

Так что будем следить и информировать.

GitHub

vcf-security-and-compliance-guidelines/security-advisories/vmsa-2025-0004 at main · vmware/vcf-security-and-compliance-guidelines

Security, compliance, and operational resilience resources applicable to VMware Cloud Foundation and VMware vSphere. This repository is an official VMware repository managed by Broadcom staff. - vm...

www.tgoop.com/true_secator/6806

6.7K viewsMar 5 at 11:00

Broadcom выкатилась со срочным бюллетенем и предупреждает клиентов о трех 0-day VMware, которые были выявлены в ходе реальных атак, о чем сообщили исследователи Microsoft.

CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.

Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.

По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.

CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.

Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.

И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.

Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.

Так что будем следить и информировать.

BY SecAtor