Le 4 mars, Broadcom a publié un avis de sécurité critique quant à VMware, après la découverte de trois vulnérabilités dont l’éditeur nous apprend qu’elles sont d’ores et déjà exploitées par des acteurs malveillants.
En début de semaine, tous les signaux clignotaient en rouge du côté des produits VMware ESX, de vSphere à Cloud Foundation, en passant par ESXi, Workstation ou encore Fusion. Cause de cette alarme, un bulletin de sécurité critique publié le 4 mars par Broadcom, heureux propriétaire du géant de la virtualisation.
Celui-ci nous apprend dans cette alerte l’existence de trois vulnérabilités dans VMware ESX, baptisée CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226. La première a un score de criticité de 9.3… Mais c’est leur articulation qui inquiète.
CVE-2025-22224 est une vulnérabilité « Time-of-Check Time-of-Use » permettant à un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle d’exécuter du code en tant que processus VMX de la machine virtuelle exécuté sur l’hôte.
Activement exploitées
CVE-2025-22225 est décrite comme une faille d’écriture arbitraire ESXi qui permet au processus VMX de déclencher des écritures arbitraires dans le noyau, ce qui permet de contourner les sandbox. Enfin CVE-2025-22226 est une vulnérabilité de divulgation d’informations due à dépassement en lecture dans HGFS. Elle permet à un attaquant disposant de privilèges administratifs sur une machine virtuelle de « leaker » la mémoire du processus VMX.
« Il s’agit d’une situation dans laquelle un attaquant, qui a déjà compromis le système d’exploitation invité d’une machine virtuelle et obtenu un accès privilégié (administrateur ou root), pourrait pénétrer dans l’hyperviseur via une machine virtuelle en cours d’exécution » indique Broadcom, et « échapper au sandbox de la machine virtuelle ».
Pire encore, l’éditeur ajoute « disposer d’informations suggérant que l’exploitation de ces failles s’est produit “dans la nature” ». En d’autres termes, ces vulnérabilités sont déjà activement exploitées. Il est donc hautement recommandé d’appliquer les patchs fournis par VMware pour les différents produits affectés.
