Une vulnérabilité grave a été détectée dans VMware ESXi, identifiée sous le nom de CVE-2025-22224. Cette faille continue d’affecter plus de 37 000 instances exposées sur Internet, les rendant vulnérables à une exploitation active. La vulnérabilité permet aux attaquants de s’échapper de l’environnement virtualisé et d’exécuter du code malveillant sur l’hôte, et elle a été classée comme critique, étant déjà exploitée dans le monde réel.
Exposition massive aux attaques
D’après des données récentes de la plateforme de surveillance des menaces The Shadowserver Foundation, le nombre de serveurs vulnérables a diminué ces derniers jours, passant de 41 500 instances initialement signalées à 37 000. Cela indique que au moins 4 500 systèmes ont été corrigés en réponse à l’alerte de sécurité.
La vulnérabilité CVE-2025-22224 est une erreur de débordement de mémoire dans le tas de VCMI, permettant aux attaquants ayant des privilèges administratifs sur une machine virtuelle (VM invité) d’exécuter du code malveillant sur l’hôte au niveau du processus VMX, compromettant ainsi l’intégralité de l’infrastructure de virtualisation.
Avertissements et recommandations de sécurité
La société Broadcom, propriétaire de VMware, a émis un avis le 4 mars 2025, avertissant les clients de l’exploitation active de cette vulnérabilité ainsi que de deux autres failles, CVE-2025-22225 et CVE-2025-22226. Selon Broadcom, toutes ces vulnérabilités étaient exploitées en tant que « zero-day », ce qui signifie que les attaques ont commencé avant que les détails ne soient rendus publics et qu’un correctif de sécurité soit disponible.
Le Centre de renseignement sur les menaces de Microsoft a été le premier à détecter ces vulnérabilités et a surveillé leur exploitation sans qu’aucun détail sur les attaquants ou leurs objectifs spécifiques ne soit révélé jusqu’à présent.
Face à l’ampleur de la menace, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a donné aux agences fédérales et aux organisations d’État jusqu’au 25 mars 2025 pour appliquer les mises à jour disponibles ou cesser d’utiliser le produit.
Distribution des serveurs vulnérables
Le rapport de Shadowserver indique que les serveurs ESXi vulnérables sont répartis sur plusieurs régions du monde, avec la distribution géographique suivante :
- Chine : 4 400 serveurs
- France : 4 100 serveurs
- États-Unis : 3 800 serveurs
- Allemagne : 2 800 serveurs
- Iran : 2 800 serveurs
- Brésil : 2 200 serveurs
Étant donné que VMware ESXi est l’un des hyperviseurs les plus utilisés dans les environnements d’entreprise pour la gestion des machines virtuelles, l’impact de cette vulnérabilité est de portée mondiale.
Aucune solution temporaire disponible
Actuellement, il n’existe aucune solution alternative ou mitigation pour cette vulnérabilité. La seule manière de protéger les systèmes est d’appliquer les correctifs de sécurité fournis par Broadcom. Pour plus d’informations sur les versions d’ESXi qui corrigent CVE-2025-22224, Broadcom a publié un avis de sécurité sur son site web, ainsi qu’une page de questions fréquentes pour aider les administrateurs système à prendre les mesures nécessaires.
L’urgence de la situation souligne l’importance de maintenir les environnements virtualisés à jour, car une vulnérabilité dans VMware ESXi peut devenir un point d’entrée critique pour des attaques par ransomware, l’exfiltration de données ou l’espionnage corporatif.
