Des vulnérabilités critiques découvertes dans VMware ESXi et VMware Tools pour Windows. Ces failles, révélées par Broadcom dans leur bulletin de sécurité VMSA-2025-0013, présentent des scores CVSS allant de 7,1 à 9,3 et permettent notamment l’exécution de code à distance sur l’hyperviseur, ouvrant la voie à un escape de machine virtuelle.
Ce qui soulève une inquiétude majeure n’est pas uniquement la gravité technique de ces failles, mais aussi la politique commerciale de Broadcom : sans contrat de support actif, les utilisateurs ne peuvent pas accéder aux correctifs, même s’ils disposent de licences perpétuelles légales. David Carrero, expert en infrastructure cloud et cofondateur de Stackscale, dénonce cette pratique qualifiée d’inacceptable, affirmant que cela transforme le logiciel d’entreprise en un risque systémique.
Les versions touchées incluent VMware ESXi 8.0 (mise à jour requise vers ESXi80U3f-24784735 ou ESXi80U2e-24789317) et ESXi 7.0 (mise à jour vers ESXi70U3w-24784741). De plus, VMware Tools sur Windows est affecté par une vulnérabilité de divulgation mémoire (CVE-2025-41239), nécessitant une mise à jour vers Tools 13.0.1.0 ou 12.5.3. Les systèmes Linux et macOS ne sont pas impactés par cette dernière faille.
Ces vulnérabilités, découvertes lors du conférence Pwn2Own Berlin 2025, concernent plusieurs CVE : CVE-2025-41236 (débordement d’entier dans VMXNET3), CVE-2025-41237 (sous-dépassement dans VMCI), CVE-2025-41238 (débordement dans PVSCSI), et CVE-2025-41239 (fuite de mémoire via vSockets). Toutes requièrent que l’attaquant dispose de privilèges administratifs dans la VM compromise.
Concernant la politique de support, Broadcom stipule que seuls les clients ayant un contrat actif peuvent accéder aux patches, empêchant ainsi toute mise à jour pour ceux avec des licences périmées ou sur des versions anciennes, même en cas d’origines critiques.
Les administrateurs système doivent impérativement mettre à jour leurs environnements VMware ESXi vers les versions corrigées, ainsi que VMware Tools sur Windows. Il n’existe actuellement ni solution alternative ni mitigation. La mise à jour de vCenter n’est pas nécessaire mais doit être vérifiée pour compatibilité. Les outils de gestion en mode Live Patch sont limités aux environnements avec vSphere Foundation 9.0, sans support en présence de TPM.
Il est conseillé d’auditer rapidement la version utilisée, de vérifier la validité du support, de planifier une migration ou une réévaluation de la politique de support, et de mettre en place un plan de contingence si le déploiement de patchs n’est pas possible. Pour les infrastructures critiques, une transition vers des hyperviseurs dotés de meilleures politiques de sécurité pourrait être envisagée.
En conclusion, le rapport du VMSA-2025-0013 illustre non seulement la vulnérabilité technique, mais aussi la nouvelle configuration commerciale imposée par Broadcom, où la sécurité devient un privilège plutôt qu’une responsabilité partagée. Carrero pointe du doigt cette pratique comme étant un frein à la souveraineté numérique, forçant de nombreux administrateurs à reconsidérer leur fidélité à VMware face à ces restrictions.