Компания Broadcom предупредила клиентов о трех уязвимостях нулевого дня в VMware. По данным специалистов Microsoft Threat Intelligence Center, эти проблемы уже использовались в атаках.
Уязвимости получили идентификаторы CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 и затрагивают продукты VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform.
Эти баги позволяют злоумышленникам, имеющим доступ уровня администратора или root, осуществить побег из песочницы виртуальной машины.
«В такой ситуации злоумышленник, уже взломавший гостевую ОС виртуальной машины и получивший привилегированный доступ (администратора или root), может перейти к самому гипервизору, — объясняют в компании. — Broadcom обладает данными, которые позволяют предположить, что эксплуатация этих проблем уже встречалась в реальных атаках».
По информации Broadcom, CVE-2025-22224 (9,3 балла по шкале CVSS) представляет собой критическую уязвимость переполнения хипа VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой ВМ выполнить код от лица процесса VMX, запущенного на хосте. Проблема затрагивает VMware ESXi и Workstation.
В свою очередь CVE-2025-22225 (8,2 балла по шкале CVSS) представляет собой уязвимость произвольной записи в ESXi, которая позволяет процессу VMX инициировать запись произвольных данных в ядро, что приводит к побегу из песочницы. Баг затрагивает VMware ESXi.
Третья проблема, CVE-2025-22226 (7,1 балла по шкале CVSS), влияет на VMware ESXi, Workstation и Fusion. Она связана с раскрытием информации в HGFS и позволяет злоумышленникам с правами администратора спровоцировать утечку памяти из процесса VMX.
Хотя в бюллетене VMware эти уязвимости не классифицированы как поддающиеся удаленной эксплуатации, известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) отмечает, что описание багов вводит в заблуждение. По его словам: «для проведения атаки не обязательно находиться локально на ВМ, можно сделать это через интернет, если у вас есть доступ к любой ВМ».
Иными словами, если хотя бы ВМ-клиент в уязвимой среде хостинга скомпрометирован, злоумышленник может получить контроль над гипервизором в этой хостинговой среде. То есть если клиент плохо защитил всего одну ВМ, все остальные ВМ в гипервизоре подвергаются риску.
