Broadcom vient d’annoncer la correction de trois vulnérabilités zero-day affectant les produits VMware, qui sont actuellement exploitées dans des attaques ciblées. Ces failles, identifiées par le Microsoft Threat Intelligence Center, mettent en danger de nombreuses infrastructures virtualisées en entreprise.
Des failles critiques qui menacent l’isolation des machines virtuelles
Les trois vulnérabilités (référencées CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226) touchent un large éventail de produits VMware, notamment ESXi, vSphere, Workstation, Fusion, Cloud Foundation et Telco Cloud Platform. Le danger principal ? Ces failles permettent à un attaquant de s’échapper d’une machine virtuelle pour compromettre l’hyperviseur lui-même, remettant en cause le principe fondamental d’isolation.
« Il s’agit d’une situation où un attaquant ayant déjà compromis le système d’exploitation invité d’une machine virtuelle et obtenu un accès privilégié (administrateur ou root) pourrait pénétrer dans l’hyperviseur lui-même », a expliqué Broadcom dans son avis de sécurité.
Pour être clair : ces vulnérabilités permettent de briser la barrière de sécurité entre une machine virtuelle et le système hôte qui l’héberge. C’est particulièrement préoccupant dans les environnements d’entreprise où l’isolation des machines virtuelles est essentielle pour la sécurité.
Détails techniques des trois vulnérabilités
Selon les informations publiées par Broadcom, ces trois failles peuvent être chaînées pour réaliser une attaque complète :
- CVE-2025-22224 : Une vulnérabilité critique de type débordement de tas (heap overflow) dans le composant VCMI. Elle permet à un attaquant local disposant de privilèges administratifs sur une machine virtuelle d’exécuter du code arbitraire au niveau du processus VMX s’exécutant sur l’hôte. Cette faille a reçu la note de criticité la plus élevée.
- CVE-2025-22225 : Une vulnérabilité d’écriture arbitraire dans ESXi qui permet au processus VMX de déclencher des écritures arbitraires au niveau du noyau, conduisant à une évasion de l’environnement isolé.
- CVE-2025-22226 : Une faille de divulgation d’informations dans le composant HGFS permettant à des attaquants disposant de permissions administratives de récupérer des données mémoire du processus VMX.
Les trois vulnérabilités ensemble créent un véritable parcours d’attaque : obtenir des données sensibles via la fuite de mémoire, utiliser le débordement de tas pour exécuter du code dans le processus VMX, puis exploiter l’écriture arbitraire pour s’échapper complètement de la machine virtuelle.
Des attaques déjà observées « in the wild »
Broadcom affirme disposer d’informations indiquant que l’exploitation de ces failles a déjà été observée « dans la nature ». Bien que l’entreprise reste discrète sur les détails, cette mention signifie généralement que des attaques réelles ont été documentées.
Microsoft, qui a découvert ces vulnérabilités via son Centre de renseignement sur les menaces, n’a pas immédiatement répondu aux demandes de commentaires concernant la nature et l’ampleur des attaques observées. On ignore donc pour l’instant qui sont les attaquants et quelles organisations ont été ciblées.
Un historique préoccupant d’exploitation des failles VMware
Ce n’est pas la première fois que des vulnérabilités VMware sont ciblées par des attaquants sophistiqués. En novembre dernier, Broadcom avait déjà alerté sur l’exploitation active de deux vulnérabilités de VMware vCenter Server corrigées en septembre, dont une permettant l’élévation de privilèges vers root (CVE-2024-38813) et une autre permettant l’exécution de code à distance (CVE-2024-38812).
Plus inquiétant encore, en janvier 2024, l’entreprise avait révélé que des hackers liés à l’État chinois avaient exploité une vulnérabilité critique de vCenter Server (CVE-2023-34048) comme zero-day pendant près de deux ans, depuis fin 2021. Ces attaques visaient à déployer les portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi vulnérables.
Pourquoi VMware est une cible de choix
Les produits VMware sont particulièrement visés par les gangs de ransomware et les groupes de piratage soutenus par des États pour plusieurs raisons :
- Omniprésence en entreprise : VMware domine le marché de la virtualisation d’entreprise.
- Accès privilégié : Compromettre un hyperviseur donne potentiellement accès à toutes les machines virtuelles hébergées.
- Données sensibles : Les infrastructures VMware sont souvent utilisées pour stocker ou transférer des données d’entreprise critiques.
- Impact maximal : Une attaque réussie sur un environnement VMware peut paralyser l’ensemble de l’infrastructure informatique d’une organisation.
Recommandations pour les utilisateurs concernés
Si votre organisation utilise des produits VMware concernés par ces vulnérabilités, voici les actions recommandées :
- Appliquer immédiatement les correctifs publiés par Broadcom.
- Surveiller les systèmes à la recherche d’activités suspectes, notamment les tentatives d’élévation de privilèges.
- Limiter l’accès administratif aux machines virtuelles critiques.
- Segmenter les réseaux pour réduire l’impact potentiel d’une compromission.
- Vérifier les journaux pour détecter d’éventuelles tentatives d’exploitation antérieures.
Une menace qui s’inscrit dans une tendance plus large
Ces nouvelles vulnérabilités s’ajoutent à une série de failles zero-day découvertes et exploitées récemment. Google a notamment corrigé plusieurs vulnérabilités Android exploitées dans des attaques ciblées, et Microsoft a dû traiter une faille de Power Pages également exploitée activement.
La multiplication des attaques ciblant les infrastructures virtualisées souligne l’importance cruciale d’une stratégie de sécurité proactive, particulièrement pour les technologies formant l’épine dorsale des systèmes d’information modernes.
