Broadcom ha rilasciato le patch per tre vulnerabilità zero-day presenti in VMware ESXi, VMware Workstation, VMware Fusion, VMware Cloud Foundation e VMware Telco Cloud Platform. Gli utenti e amministratori IT devono aggiornare al più presto i software perché sono già disponibili exploit funzionanti. VMware Workstation e Fusion sono gratis per tutti dal mese di novembre 2024.
Descrizione delle vulnerabilità
Le tre vulnerabilità sono indicate con CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226. Gli attacchi che sfruttano questo tipo di bug sono denominati hyperjacking, hypervisor attack o virtual machine escape. Le macchine virtuali sono eseguite su un singolo server e isolate tra loro. Combinando le tre vulnerabilità, un cybercriminale con privilegi di amministratore può aggirare la sandbox, accedere ad una macchina virtuale, prendere il controllo dell’hypervisor ESXi e quindi accedere a tutte le altre macchine virtuali.
Alla catena di vulnerabilità è stato assegnato il nome ESXiscape dal ricercatore di sicurezza Kevin Beaumont, secondo il quale circolano già exploit sviluppati da un gruppo di cybercriminali che distribuisce ransomware.
Il ricercatore sottolinea che il bollettino di sicurezza pubblicato da Broadcom è incompleto perché non sono specificate tutte le versioni vulnerabili. Non viene inoltre specificato che l’attacco può essere eseguito anche da remoto (quindi non serve l’accesso locale). Il livello di gravità è pertanto superiore a quello indicato.
Le tre vulnerabilità sono state scoperte dal Microsoft Threat Intelligence Center e segnalate a Broadcom. Al momento non sono noti gli autori degli attacchi, né le eventuali vittime. Alcune settimane fa, un cybercriminale russo ha cercato di vendere un exploit a 150.000 dollari.
Ti potrebbe interessare
6 mar 2025