Поделиться
Выпущены срочные патчи, закрывающие три «дыры» в продуктах VMware
Мартовские обновления устраняют три уязвимости, которые уже применялись в реальных кибератаках. «Баги» позволяют выходить за пределы виртуальных машин и атаковать гипервизор
С пометкой «срочно»
Broadcom 4 марта 2025 г. выпустил экстренные обновления для всех версий VMware ESX и настоятельной рекомендацией установить их как можно скорее. Обновления устраняют ряд уязвимостей, которые затрагивают пакеты VMware ESX, VMware vSphere, VMware Cloud Foundation и VMware Telco Cloud Platform.
Речь главным образом идет о трех уязвимостях, получивших оценки CVSS в диапазоне от 7,1 до 9,3 баллов.
К критическому спектру относится только первая из этих уязвимостей - CVE-2025-22224, эксплуатация которой позволяет вызвать состояние переполнения кучи (heap overflow), что, в свою очередь, позволяет осуществить запись данных вне выделенного диапазона памяти.
Потенциальный злоумышленник, добившийся локальных административных привилегий в виртуальной машине, может таким образом произвести запуск произвольного кода в контексте процесса VMX на уровне хоста - т.е. за пределами виртуальной среды.
Вторая уязвимость чуть менее серьезна (8,2 балла), но тем не менее ее также рекомендуется исправить как можно скорее: CVE-2025-22225 допускает запись произвольных данных на уровне ядра с последующим выходом за пределы изолированной среды. Потенциальный злоумышленник должен обладать для этого повышенными привилегиями на уровне процесса VMX.
Последняя из трех уязвимостей - CVE-2025-22226 - получила оценку 7,1 балла. Она затрагивает непосредственно ESXi, Workstation и Fusion и допускает раскрытие конфиденциальной информации из-за ошибки чтения за пределами выделенной области в HGFS. Вследствие этого возникает вероятность «утечки» содержимого памяти на уровне процесса VMX. Но только при условии, что у потенциального злоумышленника есть полномочия администратора.
Уже эксплуатируются
Важнейшей подробностью в данном случае является то, что все эти уязвимости уже использовались в реальных кибератаках, так что CVE-2025-22224, CVE-2025-2225 и CVE-2025-22226 являются уязвимостями нулевого дня.
Единственный способ их устранить - это установить выпущенные патчи. Обходных путей нет.
«Вероятнее всего, эти уязвимости использовались в комбинации, дополняя друг друга», - считает Александр Зонов, эксперт по информационной безопасности компании SEQ. «Единственным препятствием для их эксплуатации оказывается необходимость получения административных привилегий в отдельно взятой виртуальной машине. Для опытных киберзлоумышленников это не слишком серьезное препятствие».
Уязвимости были выявлены экспертами Microsoft Threat Intelligence Center. Подробностей о том, в каких обстоятельствах это произошло, компания не разглашает.
Поделиться
Короткая ссылка
