Augmentation des attaques et risque d’exploitation active dans les systèmes de virtualisation
Le 4 mars 2025, Broadcom a annoncé la découverte de multiples vulnérabilités critiques dans ses produits VMware ESXi, Workstation et Fusion. Certaines de ces failles sont déjà exploitées activement par des groupes de ransomware, augmentant ainsi le risque pour les entreprises et les administrations utilisant ces environnements de virtualisation.
Parmi les vulnérabilités mises en évidence, on trouve :
- CVE-2025-22224 (gravité 9.3 CVSSv3) : Permet à un attaquant ayant des droits administratifs dans une machine virtuelle d’exécuter du code arbitraire sur l’hyperviseur hôte, compromettant ainsi son environnement.
- CVE-2025-22225 (gravité 8.2 CVSSv3) : Permet l’écriture arbitraire dans le noyau du système, permettant ainsi des évadements d’environnement isolé (sandbox escape).
- CVE-2025-22226 (gravité 7.1 CVSSv3) : Facilite la fuite de mémoire à partir du processus VMX dans les systèmes affectés.
Impact et risques pour les infrastructures virtualisées
Le principal risque découlant de ces vulnérabilités est la possibilité de « VM Escape », une technique dans laquelle un attaquant à l’intérieur d’une machine virtuelle parvient à exécuter du code sur l’hyperviseur. Cela lui donnerait la capacité de prendre le contrôle du serveur physique, mettant ainsi en danger toutes les machines virtuelles qu’il héberge.
Ce type d’attaque est souvent exploité par des groupes de ransomware, qui pourraient chiffrer des serveurs entiers et exiger des rançons exorbitantes des entreprises touchées.
Mises à jour et solutions de contournement disponibles
Broadcom a publié des patchs de sécurité pour les versions supportées de VMware. Il est donc recommandé de mettre à jour immédiatement. De plus, les utilisateurs avec des versions non supportées doivent vérifier les portails de téléchargement pour voir s’il existe des mises à jour. Des correctifs ont été publiés pour VMware ESXi 6.5 et 6.7, bien que Broadcom suggère de migrer vers vSphere 8.
Versions corrigées :
| Produit | Version affectée | Version corrigée |
|---|---|---|
| ESXi | 8.0 | ESXi80U3d-24585383 |
| ESXi | 8.0 | ESXi80U2d-24585300 |
| ESXi | 7.0 | ESXi70U3s-24585291 |
| ESXi | 6.7 | ESXi670-202503001 |
| Workstation | 17.x | 17.6.3 |
| Fusion | 13.x | 13.6.3 |
Pour cette fois, il n’existe pas de solutions alternatives pour atténuer les risques, et la seule option sécurisée est de mettre à jour les systèmes vulnérables.
Comment identifier les serveurs VMware ESXi vulnérables
Pour détecter si un système VMware ESXi dans un réseau est vulnérable, des outils de surveillance comme runZero peuvent être utilisés pour effectuer des recherches avancées afin d’identifier des versions obsolètes du logiciel. Les requêtes suivantes peuvent être utilisées dans l’Asset Inventory :
Pour localiser les serveurs ESXi à risque :
os:"vmware esxi" AND (os_version:<6 OR (os_version:>6 AND os_version:<"6.7.0 build-24514018") OR (os_version:>7 AND os_version:<"7.0.3 build-24585291") OR (os_version:>8 AND os_version:<"8.0.2") OR (os_version:>"8.0.2" AND os_version:<"8.0.2 build-24585300") OR (os_version:>"8.0.3" AND os_version:<"8.0.3 build-24585383"))Pour identifier les machines virtuelles exécutées sur VMware :
source:vmwarePour localiser les versions vulnérables de Workstation et Fusion :
vendor:vmware AND ((product:Workstation AND version:<17.6.3) OR (product:Fusion AND version:<13.6.3))Historique récent des vulnérabilités dans VMware
Ceci n'est pas la première fois que des vulnérabilités graves sont signalées dans VMware. Au cours de l'année dernière, plusieurs failles ont été exploitées dans l'infrastructure de virtualisation :
- CVE-2024-37085 (juin 2024) : Problème de validation dans les groupes Active Directory qui permet à un attaquant autorisé d'obtenir un accès total à un hôte ESXi.
- CVE-2024-22252 à CVE-2024-22255 (mars 2024) : Vulnérabilités qui permettent à du code dans une machine virtuelle d'accéder au système hôte de manière non autorisée.
- CVE-2021-21974 (février 2023) : Problème dans le service OpenSLP d'ESXi utilisé par le ransomware ESXiArgs pour chiffrer des serveurs.
Conclusion
L'apparition continue de vulnérabilités critiques dans VMware montre l'importance de maintenir ces environnements à jour. Les entreprises qui dépendent d'ESXi doivent prioriser la mise à jour immédiate de leurs infrastructures et surveiller continuellement leurs environnements virtuels pour détecter d'éventuelles attaques.
Le risque d'exploitation par des groupes de ransomware est élevé, et l'absence de solutions alternatives signifie que le patching est la seule option viable pour se protéger.
