Broadcom a corrigé 3 failles zero-day dans VMware ESXi, Workstation et Fusion !
Une nouvelle alerte de sécurité a été publiée par Broadcom et elle s'adresse directement aux clients VMware ! Trois failles zero-day ont été corrigées dans plusieurs produits dont ESXi, Workstation et Fusion. Quels sont les risques ? Faisons le point.
Trois nouvelles failles zero-day dans les produits VMware
Ces vulnérabilités, associées aux références CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226, affectent VMware ESXi, Workstation et Fusion. Intéressons-nous à chacune de ces faiblesses découvertes par les membres du Microsoft Threat Intelligence Center.
- CVE-2025-22224 - Score CVSS de 9.3 sur 10
Tout d'abord, la CVE-2025-22224 est décrite comme une faille de sécurité critique de type heap overflow présente dans le composant VMCI. Cette vulnérabilité affecte VMware ESXi et VMware Workstation. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code sur la machine hôte :
"Un acteur malveillant disposant de privilèges d'administration locale sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s'exécutant sur l'hôte.", peut-on lire dans le bulletin de Broadcom.
- CVE-2025-22225 - Score CVSS de 8.2 sur 10
La seconde faille de sécurité, CVE-2025-22225, affecte uniquement VMware ESXi. Elle peut être exploitée pour s'échapper de la sandbox : "Un acteur malveillant disposant de privilèges au sein du processus VMX peut déclencher une écriture arbitraire du noyau conduisant à une sortie du bac à sable.", peut-on lire.
- CVE-2025-22226 - Score CVSS de 7.1 sur 10
Enfin, la troisième faille de sécurité, CVE-2025-22226, affecte trois produits de VMware : ESXi, Workstation et Fusion. A cause d'une lecture hors limites dans HGFS, un attaquant pourrait accéder à des informations sensibles grâce à cette vulnérabilité.
Broadcom précise : "Un acteur malveillant disposant de privilèges administratifs sur une machine virtuelle peut être en mesure d'exploiter ce problème pour déclencher un leak de la mémoire du processus vmx."
Il est important de noter qu'il est question de failles de sécurité zero-day déjà exploitées dans le cadre d'attaques. Broadcom en parle dans une FAQ associée à ce bulletin de sécurité : "Broadcom dispose d'informations suggérant que l'exploitation de ces problèmes s'est produite "dans la nature"."
Quels sont les risques ? Comment se protéger ?
À l'heure actuelle, aucune information publique ne décrit d'attaques impliquant ces failles zero-day. L'exploitation de ces vulnérabilités nécessite des privilèges élevés, ce qui indique qu'elles ont probablement été exploitées dans des attaques ciblées après que les acteurs malveillants aient obtenu un accès initial aux systèmes des victimes.
Broadcom précise : "C'est une situation où un attaquant qui a déjà compromis le système d'exploitation invité d'une machine virtuelle et obtenu un accès privilégié (administrateur ou root) pourrait se déplacer dans l'hyperviseur lui-même."
Pour vous protéger de ces vulnérabilités, il n'y a pas d'autres choix que d'installer les dernières mises à jour. Référez-vous à la matrice publiée sur le site de Broadcom pour prendre connaissance des nouvelles versions.
Les produits suivants sont impactés :
- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion
- VMware Cloud Foundation
- VMware Telco Cloud Platform
Pour VMware ESXi, il y a notamment 3 nouvelles versions (pour différentes branches) : ESXi80U3d-24585383, ESXi80U2d-24585300 et ESXi70U3s-24585291. A vos patchs !
