Toename van aanvallen en risico op actieve exploitatie in virtualisatiesystemen
Op 4 maart 2025 heeft Broadcom aangekondigd dat er meerdere kritieke kwetsbaarheden zijn ontdekt in zijn producten VMware ESXi, Workstation en Fusion. Sommige van deze kwetsbaarheden worden al actief geëxploiteerd door ransomwaregroepen, wat het risico verhoogt voor bedrijven en instellingen die gebruikmaken van deze virtualisatieomgevingen.
Belangrijkste kwetsbaarheden
Onder de opvallende kwetsbaarheden bevinden zich:
CVE-2025-22224 (kritikaliteit 9.3 CVSSv3): Hierdoor kan een aanvaller met administratieve rechten binnen een virtuele machine willekeurige code uitvoeren op de hypervisor host, waarmee de omgeving wordt gecompromitteerd.
CVE-2025-22225 (kritikaliteit 8.2 CVSSv3): Hiermee is het mogelijk om willekeurig te schrijven naar de systeemkernel, wat de omgevingsisolatie (sandbox escape) omzeilt.
- CVE-2025-22226 (kritikaliteit 7.1 CVSSv3): Dit vergemakkelijkt het lekken van geheugen vanuit het VMX-proces op de getroffen systemen.
Impact en risico’s voor virtualisatie-infrastructuren
Het belangrijkste risico dat voortvloeit uit deze kwetsbaarheden is de mogelijkheid van "VM Escape", een techniek waarbij een aanvaller binnen een virtuele machine erin slaagt om code op de hypervisor uit te voeren. Dit zou hem in staat stellen de fysieke server over te nemen, waardoor alle virtuele machines die erop zijn gehost in gevaar komen.
Dit type aanvallen wordt vaak benut door ransomwaregroepen, die volledige servers kunnen versleutelen en miljoneneisen kunnen stellen aan de getroffen bedrijven.
Updates en beschikbare mitigaties
Broadcom heeft beveiligingspatches vrijgegeven voor de ondersteunde versies van VMware, en het wordt aanbevolen om onmiddellijk bij te werken. Gebruikers van niet-ondersteunde versies moeten de downloadportalen controleren om te zien of er updates beschikbaar zijn. Er zijn correcties gepubliceerd voor VMware ESXi 6.5 en 6.7, maar Broadcom stelt migratie naar vSphere 8 voor.
Gecorrigeerde versies:
| Product | Aangetaste versie | Gecorrigeerde versie |
|---|---|---|
| ESXi | 8.0 | ESXi80U3d-24585383 |
| ESXi | 8.0 | ESXi80U2d-24585300 |
| ESXi | 7.0 | ESXi70U3s-24585291 |
| ESXi | 6.7 | ESXi670-202503001 |
| Workstation | 17.x | 17.6.3 |
| Fusion | 13.x | 13.6.3 |
In dit geval zijn er geen alternatieve oplossingen beschikbaar om de risico’s te mitigeren, waardoor de enige veilige optie is om de kwetsbare systemen te upgraden.
Hoe kwetsbare VMware ESXi-servers te identificeren
Om te detecteren of een VMware ESXi-systeem in een netwerk kwetsbaar is, kunnen monitoringtools zoals runZero worden gebruikt, die geavanceerde zoekopdrachten mogelijk maken om verouderde softwareversies te identificeren. De volgende zoekopdrachten kunnen in het Asset Inventory worden gebruikt:
Voor het lokaliseren van risicovolle ESXi-servers:
os:"vmware esxi" AND (os_version:<6 OR (os_version>6 AND os_version:<"6.7.0 build-24514018")
OR (os_version>7 AND os_version:<"7.0.3 build-24585291")
OR (os_version>8 AND os_version:<"8.0.2")
OR (os_version>"8.0.2" AND os_version:<"8.0.2 build-24585300")
OR (os_version>"8.0.3" AND os_version:<"8.0.3 build-24585383"))Voor het identificeren van virtual machines die op VMware draaien:
source:vmwareVoor het lokaliseren van kwetsbare versies van Workstation en Fusion:
vendor:vmware AND ((product:Workstation AND version:<17.6.3)
OR (product:Fusion AND version:<13.6.3))Recente geschiedenis van kwetsbaarheden in VMware
Dit zijn niet de eerste ernstige kwetsbaarheden die zijn gerapporteerd in VMware. In het afgelopen jaar zijn er meerdere tekortkomingen uitgebuit in de virtualisatie-infrastructuur:
CVE-2024-37085 (juni 2024): Validatiefout in Active Directory-groepen die een aanvaller met voldoende rechten toegang kan geven tot een ESXi-host.
CVE-2024-22252 tot CVE-2024-22255 (maart 2024): Kwetsbaarheden die het mogelijk maken voor code binnen een virtuele machine om onbevoegde toegang te krijgen tot het gastnetwerk.
- CVE-2021-21974 (februari 2023): Fout in de OpenSLP-service van ESXi die door de ransomware ESXiArgs werd gebruikt om servers te versleutelen.
Conclusie
De constante opkomst van kritieke kwetsbaarheden in VMware benadrukt het belang van het up-to-date houden van deze omgevingen. Bedrijven die afhankelijk zijn van ESXi moeten onmiddellijk prioriteit geven aan het bijwerken van hun infrastructuren en hun virtualisatieomgevingen continu monitoren om mogelijke aanvallen te detecteren.
Het risico van exploitatie door ransomwaregroepen is hoog, en het gebrek aan alternatieve oplossingen maakt het patchen de enige haalbare optie om zich te beschermen.