Broadcom ha emesso un avviso oggi riguardo a tre nuove vulnerabilità zero-day di VMware (CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226), che sono state attivamente sfruttate in attacchi. Queste vulnerabilità, identificate dal Microsoft Threat Intelligence Center, interessano diversi prodotti VMware, tra cui ESXi, vSphere, Workstation, Fusion, Cloud Foundation e Telco Cloud Platform. Secondo Broadcom, gli attaccanti con privilegi amministrativi o di root possono sfruttare questi difetti per evadere il sandbox di una macchina virtuale. “Un attaccante che ha già compromesso un sistema operativo guest e ottenuto accesso privilegiato potrebbe intensificare l’attacco fino all’hypervisor stesso”, ha spiegato l’azienda. Broadcom ha anche confermato prove di sfruttamento in-the-wild.
Tra le vulnerabilità segnalate, CVE-2025-22224 è classificata come un grave difetto di overflow dell’heap VCMI, che consente agli attaccanti locali con accesso amministrativo di eseguire codice mentre il processo VMX è in esecuzione sull’host. CVE-2025-22225 è una vulnerabilità di scrittura arbitraria su ESXi, che permette al processo VMX di eseguire scritture non autorizzate nel kernel, potenzialmente portando a un’uscita dal sandbox. Nel frattempo, CVE-2025-22226 è un difetto di divulgazione di informazioni HGFS che consente agli attaccanti con permessi di amministratore di divulgare memoria dal processo VMX.
I prodotti VMware sono bersagli frequenti per gruppi di ransomware e hacker sponsorizzati dallo stato a causa del loro ampio utilizzo negli ambienti aziendali per l’archiviazione e il trasferimento di dati aziendali sensibili. Questo non è il primo caso di exploit attivi di VMware. A novembre, Broadcom ha avvertito di attacchi che sfruttavano due vulnerabilità di VMware vCenter Server corrette a settembre: CVE-2024-38813, che consente l’elevazione dei privilegi a root, e CVE-2024-38812, un grave difetto di esecuzione di codice remoto scoperto durante la competizione di hacking Matrix Cup 2024 in Cina.
Inoltre, a gennaio 2024, Broadcom ha rivelato che hacker sponsorizzati dallo stato cinese avevano sfruttato una vulnerabilità critica di vCenter Server (CVE-2023-34048) come zero-day almeno dalla fine del 2021. Questo difetto è stato utilizzato per distribuire backdoor VirtualPita e VirtualPie su host ESXi vulnerabili.
Fonte: Techwrix
