A Broadcom lançou atualizações de segurança para corrigir três falhas de segurança ativamente exploradas nos produtos VMware ESXi, Workstation e Fusion, que poderiam levar à execução de código e divulgação de informações.
A lista de vulnerabilidades é a seguinte:
-
CVE-2025-22224
(pontuação CVSS: 9.3) - Uma vulnerabilidade Time-of-Check Time-of-Use (TOCTOU) que leva a uma escrita fora dos limites, que um ator malicioso com privilégios administrativos locais em uma máquina virtual poderia explorar para executar código como o processo VMX da máquina virtual em execução no host;
-
CVE-2025-22225
(pontuação CVSS: 8.2) - Uma vulnerabilidade de escrita arbitrária que um ator malicioso com privilégios dentro do processo VMX poderia explorar para resultar em uma fuga do sandbox;
-
CVE-2025-22226
(pontuação CVSS: 7.1) - Uma vulnerabilidade de divulgação de informações devido a uma leitura fora dos limites no HGFS que um ator malicioso com privilégios administrativos de uma máquina virtual poderia explorar para vazar memória do processo vmx.
As deficiências impactam as seguintes versões:
VMware ESXi 8.0 - Corrigido em ESXi80U3d-24585383, ESXi80U2d-24585300;
VMware ESXi 7.0 - Corrigido em ESXi70U3s-24585291;
VMware Workstation 17.x - Corrigido em 17.6.3;
VMware Fusion 13.x - Corrigido em 13.6.3;
VMware Cloud Foundation 5.x - Patch assíncrono para ESXi80U3d-24585383;
VMware Cloud Foundation 4.x - Patch assíncrono para ESXi70U3s-24585291;
VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x - Corrigido em ESXi 7.0U3s, ESXi 8.0U2d e ESXi 8.0U3d;
VMware Telco Cloud Infrastructure 3.x, 2.x - Corrigido em ESXi 7.0U3s.
Em uma FAQ separada, a Broadcom reconheceu que tem "informações que sugerem que a exploração dessas questões ocorreu 'no mundo real', mas não detalhou a natureza dos ataques ou a identidade dos atores de ameaças que as armamentizaram.
O provedor de serviços de virtualização creditou o Microsoft Threat Intelligence Center por descobrir e reportar os bugs.
Diante da exploração ativa, é essencial que os usuários apliquem os últimos patches para proteção ótima.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as três vulnerabilidades de dia zero ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que agências civis federais corrijam-nas até 25 de março de 2025.
"Esta é uma situação em que um atacante que já comprometeu o sistema operacional convidado de uma máquina virtual e obteve acesso privilegiado (administrador ou root) poderia mover-se para o próprio hipervisor", acrescentou a VMware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...