Broadcom odstránil aktívne zneužívané zraniteľnosti virtualizačnej platformy VMware

Spoločnosť Broadcom vydala bezpečnostné aktualizácie na svoje virtualizačné platformy VMware ESXi, Workstation a Fusion ktoré opravujú 3 aktívne zneužívané zero-day zraniteľnosti, z čoho jedna je označená ako kritická.

Zraniteľné systémy:

• VMware ESXi 8.0 bez aplikovanej záplaty ESXi80U3d-24585383
• VMware ESXi 8.0 bez aplikovanej záplaty ESXi80U2d-24585300
• VMware ESXi 7.0 bez aplikovanej záplaty ESXi70U3s-24585291
• VMware Workstation 17.X vo verziách starších ako 17.6.3
• VMware Fusion 13.X vo verziách starších ako 13.6.3

Pozn.:

• Uvedené produkty sú súčasťou produktov Broadcom VMware Cloud Foundation, VMware Telco Cloud Platform a VMware Telco Cloud Infrastructure.

Opis zraniteľnosti:

Aktívne zneužívané zero-day zraniteľnosti:

CVE-2025-22224 (CVSS 3.1 skóre: 9,3)

Kritická zraniteľnosť typu TOCTOU (Time-of-Check Time-of-Use) umožňuje zápis do pamäte mimo povolených hodnôt v rámci VMware ESXi a Workstation. Lokálny útočník s oprávneniami administrátora na virtuálnom stroji by ju mohol zneužiť na vykonanie kódu v kontexte procesu VMX bežiaceho na hostiteľskom stroji.

CVE-2025-22225 (CVSS 3.1 skóre: 8,2)

Zraniteľnosť vo VMware ESXi by lokálny autentifikovaný útočník s právomocami administrátora v rámci procesu VMX mohol zneužiť na zápis do pamäte kernelu a únik zo sandboxového prostredia.

CVE-2025-22226 (CVSS 3.1 skóre: 7,1)

VMware ESXi, Workstation, and Fusion obsahujú zraniteľnosť umožňujúcu čítanie pamäte mimo povolených hodnôt v rámci HGFS (Host Guest File System). Lokálny útočník s oprávneniami administrátora na virtuálnom stroji by ju mohol zneužiť na získanie obsahu pamäte procesu VMX.

Podľa Microsoft Threat Intelligence Center sú zraniteľnosti aktívne zneužívané. Úspešné zneužitie všetkých uvedených zraniteľností vyžaduje administrátorský prístup k virtuálnym strojom. Zreťazením uvedených zraniteľností je možné dosiahnuť úplný únik z virtuálneho prostredia.

Možné škody:

• Vykonanie kódu
• Únik zo sandboxového prostredia
• Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať v závislosti od používanej verzie VMware ESXi bezodkladnú inštaláciu záplat ESXi80U3d-24585383, ESXi80U2d-24585300 alebo ESXi70U3s-24585291 a aktualizáciu VMware Workstation na verziu 17.6.3 a VMware Fusion na verziu 13.6.3.

Pri aktualizácii ostatných závislých produktov postupujte podľa pokynov výrobcu zverejnených v rámci KB88287 (VMware Cloud Foundation) a KB389385 (VMwareTelco Cloud Platform, VMware Telco Cloud Infrastructure).

Zdroje:

• https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
• https://arcticwolf.com/resources/blog/three-vmware-zero-days-exploited-in-wild-patched-by-broadcom/
• https://www.bleepingcomputer.com/news/security/broadcom-fixes-three-vmware-zero-days-exploited-in-attacks/
• https://www.darkreading.com/remote-workforce/zero-days-risk-vm-escape-attacks