Vulnerabilități critice de securitate cibernetică identificate la nivelul unor produse VMware

Sursa: dnsc.ro

CVE-2025-22224 – VMCI Heap-Overflow Vulnerability

Această vulnerabilitate critică afectează VMCI (Virtual Machine Communication Interface), componentă utilizată pentru comunicarea între mașinile virtuale și gazda ESXi. Exploatarea acestui defect permite unui atacator cu privilegii administrative locale să execute cod arbitrar la nivel de hypervisor, compromițând astfel întregul sistem.

Problema apare din cauza unei vulnerabilități de tip heap overflow în cadrul VMCI, unde datele introduse de utilizator sunt copiate într-o zonă de memorie alocată dinamic fără validare corespunzătoare a dimensiunii. Acest lucru poate permite scrierea în afara limitelor bufferului, ducând la coruperea memoriei și, în cele din urmă, la execuție de cod arbitrar pe gazdă. 

Condiții de exploatare

• Atacatorul trebuie să dețină privilegii administrative pe o mașină virtuală găzduită de ESXi.
• Exploatarea necesită trimiterea unor comenzi malformate către VMCI pentru a declanșa scrierea neautorizată în memorie. 

Impact

• Execuție de cod arbitrar cu privilegii de hypervisor.
• Persistență în infrastructură virtualizată prin compromiterea gazdei.
• Posibilă propagare a atacului către alte mașini virtuale găzduite pe sistemul afectat. 

CVE-2025-22225 – ESXi Arbitrary Write Vulnerability

Vulnerabilitatea permite unui atacator cu privilegii asupra procesului VMX să efectueze scriere arbitrară în memoria kernel-ului ESXi. Aceasta poate conduce la compromiterea totală a sistemului și evitarea mecanismelor de protecție implementate de VMware.

Deficiența constă în absența validării corespunzătoare a parametrilor furnizați de procesul VMX, permițând atacatorilor să modifice structuri critice de memorie. Odată exploatată, această vulnerabilitate poate permite escaladarea privilegiilor, obținerea de acces la nivel de kernel și eventual control total asupra hypervisorului.

Condiții de exploatare

• Atacatorul trebuie să aibă acces prealabil la procesul VMX.
• Exploatarea presupune manipularea datelor în memoria kernel-ului ESXi.

Impact

• Compromiterea sandbox-ului ESXi, permițând atacatorului să obțină acces la resurse protejate.
• Persistență în sistem, facilitând atacuri ulterioare.
• Posibilă manipulare a datelor din sistemele virtualizate, generând instabilitate sau acces neautorizat la date sensibile.

CVE-2025-22226 – HGFS Information Disclosure

Această vulnerabilitate afectează Host-Guest File System (HGFS), un mecanism utilizat pentru schimbul de fișiere între gazdă și mașinile virtuale. Exploatarea sa poate permite atacatorilor cu privilegii de administrator pe o mașină virtuală să obțină acces la memoria procesului VMX al gazdei.

Problema constă în faptul că anumite zone de memorie utilizate de HGFS pot fi accesate fără verificări corespunzătoare, permițând atacatorilor să extragă date sensibile din memoria sistemului ESXi. Această vulnerabilitate poate facilita exfiltrarea de date și poate contribui la atacuri mai complexe asupra infrastructurii virtualizate.

Condiții de exploatare

• Atacatorul trebuie să aibă privilegii de administrator pe o mașină virtuală.
• Exploatarea implică accesarea structurilor de memorie partajată prin HGFS. 

Impact

• Exfiltrare de date de pe gazdă, inclusiv informații critice despre alte mașini virtuale.
• Posibilă compromitere a datelor de autentificare, facilitând atacuri ulterioare.

Produse afectate

• VMware ESXi 7.x și 8.x
• VMware Workstation
• VMware Fusion
• VMware Cloud Foundation
• VMware Telco Cloud

Scor de severitate

• CVE-2025-22224: 9.8 (Critic)
• CVE-2025-22225: 8.2 (Important)
• CVE-2025-22226: 7.1 (Mediu)

Recomandări

Actualizări și Patch-uri

VMware a lansat patch-uri de securitate pentru a remedia aceste vulnerabilități. Se recomandă actualizarea imediată la următoarele versiuni:

VMware ESXi:

• Versiunea 8.0: Aplicați patch-ul ESXi80U3d-24585383 sau ESXi80U2d-24585300.
• Versiunea 7.0: Aplicați patch-ul ESXi70U3s-24585291.

VMware Workstation:

• Versiunea 17.x: Actualizați la Workstation 17.6.3.

VMware Fusion:

• Versiunea 13.x: Actualizați la Fusion 13.6.3.

VMware Cloud Foundation:

• Versiunea 5.x: Aplicați patch-ul asincron corespunzător ESXi80U3d-24585383.
• Versiunea 4.5.x: Aplicați patch-ul asincron corespunzător ESXi70U3s-24585291.

VMware Telco Cloud Platform:

• Versiunile 5.x, 4.x, 3.x, 2.x: Consultați KB389385 pentru instrucțiuni specifice de actualizare.

Pentru mai multe informații privind actualizările corespunzătoare te încurajăm sa accesezi link-ul următor: Actualizări produse VMware

Alte măsuri de protecție

Pentru CVE-2025-22224:

• Restricționați accesul la mașinile virtuale cu privilegii administrative.
• Monitorizați traficul VMCI pentru activități suspecte.

Pentru CVE-2025-22225:

• Izolarea proceselor VMX și revizuirea permisiunilor pentru VMX.
• Limitarea accesului la kernel-ul ESXi prin monitorizarea interacțiunilor.

Pentru CVE-2025-22226:

• Dezactivarea HGFS în medii cu risc ridicat.

Aceste vulnerabilități demonstrează importanța aplicării imediate a patch-urilor și a măsurilor de securitate preventive. Exploatarea acestora poate duce la compromiterea totală a infrastructurii virtualizate. Administrarea atentă a permisiunilor și monitorizarea activă a sistemelor sunt esențiale pentru reducerea riscurilor asociate.

Se recomandă tuturor administratorilor de VMware ESXi să implementeze actualizările de securitate și să aplice măsurile de protecție pentru a preveni atacurile cibernetice asupra mediilor virtualizate.