Компанія Broadcom попередила клієнтів про три вразливості нульового дня у VMware. За даними фахівців Microsoft Threat Intelligence Center, ці проблеми вже використовувалися в атаках.

Вразливості отримали ідентифікатори CVE-2025-22224, CVE-2025-22225 і CVE-2025-22226 і зачіпають продукти VMware ESX, включно з VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation і Telco Cloud Platform.

Ці баги дають змогу зловмисникам, які мають доступ рівня адміністратора або root, здійснити втечу з пісочниці віртуальної машини.

“У такій ситуації зловмисник, який уже зламав гостьову ОС віртуальної машини і отримав привілейований доступ (адміністратора або root), може перейти до самого гіпервізора, – пояснюють у компанії. – Broadcom володіє даними, які дають змогу припустити, що експлуатація цих проблем уже зустрічалася в реальних атаках”.

За інформацією Broadcom, CVE-2025-22224 (9,3 бала за шкалою CVSS) – це критична вразливість переповнення хіпа VCMI, яка дає змогу локальним зловмисникам із правами адміністратора на цільовій ВМ виконати код від імені процесу VMX, запущеного на хості. Проблема зачіпає VMware ESXi і Workstation.

Зі свого боку CVE-2025-22225 (8,2 бала за шкалою CVSS) являє собою вразливість довільного запису в ESXi, яка дає змогу процесу VMX ініціювати запис довільних даних у ядро, що призводить до втечі з пісочниці. Баг зачіпає VMware ESXi.

Третя проблема, CVE-2025-22226 (7,1 бала за шкалою CVSS), впливає на VMware ESXi, Workstation і Fusion. Вона пов’язана з розкриттям інформації в HGFS і дає змогу зловмисникам із правами адміністратора спровокувати витік пам’яті з процесу VMX.

Хоча в бюлетені VMware ці вразливості не класифіковані як такі, що піддаються віддаленій експлуатації, відомий ІБ-експерт Кевін Бомонт (Kevin Beaumont) зазначає, що опис багів вводить в оману. За його словами: «для проведення атаки не обов’язково перебувати локально на ВМ, можна зробити це через інтернет, якщо у вас є доступ до будь-якої ВМ».

Іншими словами, якщо хоча б ВМ-клієнт у вразливому середовищі хостингу скомпрометований, зловмисник може отримати контроль над гіпервізором у цьому хостинговому середовищі. Тобто якщо клієнт погано захистив лише одну ВМ, всі інші ВМ у гіпервізорі наражаються на ризик.