Zorgwekkende kwetsbaarheid in VMware Tools: aanvallers kunnen lokale escalatie uitvoeren
Broadcom heeft op dinsdag een belangrijke beveiligingsupdate vrijgegeven om een ernstige kwetsbaarheid te verhelpen in VMware Tools voor Windows, een cruciale suite die de prestaties en integratie van gastbesturingssystemen in virtuele machines (VM’s) die worden beheerd met VMware-technologie optimaliseert.
De kwetsbaarheid, aangeduid als CVE-2025-22230, is het gevolg van een zwakte in de toegangscontrole en werd gerapporteerd door Sergey Bliznyuk, een onderzoeker van Positive Technologies, een Russisch bedrijf dat onderworpen is aan sancties wegens vermeende handel in hackingtools.
Volgens de beveiligingswaarschuwing die door VMware (nu eigendom van Broadcom) is uitgegeven, kan een aanvaller met lage privileges in een Windows VM deze zwakte misbruiken om acties uit te voeren die normaal gesproken verhoogde privileges vereisen binnen dezelfde virtuele machine.
Risico van lokale escalatie zonder gebruikersinteractie
De kwetsbaarheid kan worden benut door middel van aanvallen met een lage complexiteit die geen gebruikersinteractie vereisen, wat het tot een reëel risico maakt voor bedrijfsomgevingen die werken met virtualisatiestructuren. Hoewel de aanvalsvector lokaal is, is de impact aanzienlijk, aangezien het een interne aanvaller of iemand met beperkte toegang in staat zou stellen om het gastbesturingssysteem volledig te compromitteren.
Recente geschiedenis van kritieke kwetsbaarheden in VMware
Deze nieuwe beveiligingsmelding komt enkele weken nadat Broadcom drie zero-day kwetsbaarheden in VMware (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) heeft gepatcht. Deze kwetsbaarheden werden ontdekt tijdens actieve campagnes en gerapporteerd door het Microsoft Threat Intelligence Center. In dat geval konden aanvallers met beheerders- of root-rechten de kwetsbaarheden combineren om uit de sandbox van de virtuele machine te ontsnappen, wat leidde tot een compromittering van de host of de virtualisatieomgeving.
Na de ontdekking identificeerde het monitoringplatform Shadowserver meer dan 37.000 instances van VMware ESXi die aan het internet blootgesteld waren en kwetsbaar waren voor CVE-2025-22224, wat de ernst van het probleem aantoont.
Prioriteit voor criminele groepen en staatsactoren
De oplossingen van VMware worden veel gebruikt in bedrijfsomgevingen, wat ze tot een veelvoorkomend doelwit maakt van ransomware-groepen en door de staat gesponsorde actoren. In november 2024 waarschuwde Broadcom al voor de actieve uitbuiting van twee kritieke kwetsbaarheden in vCenter Server, die werden gedetecteerd tijdens een hackwedstrijd in China.
Bovendien werd in januari 2024 onthuld dat groepen met banden met China een zero-day kwetsbaarheid in vCenter Server (CVE-2023-34048) sinds eind 2021 hadden misbruikt om de VirtualPita en VirtualPie backdoors te implementeren op gecompromitteerde ESXi-servers.
Aanbevelingen
Broadcom raadt alle systeembeheerders en verantwoordelijken voor beveiliging aan om VMware Tools voor Windows onmiddellijk bij te werken naar de laatste beschikbare versie. In gevoelige omgevingen wordt ook aanbevolen om de logboeken van de activiteiten in de virtuele machines te controleren en aanvullende interne toegangscontroles door te voeren.
Het bedrijf herinnert eraan dat het essentieel is om virtualisatie-omgevingen up-to-date te houden om ernstige incidenten te voorkomen en te vermijden dat men het doelwit wordt van geavanceerde cyberaanvallen.
Voor meer informatie en technische details over de kwetsbaarheid zijn de veiligheidswaarschuwingen van VMware beschikbaar op hun website.