Broadcom blokkeert kritieke updates voor VMware ESXi en Tools voor gebruikers zonder ondersteuning

Door /
Share on LinkedIn Share on WhatsApp

Kritieke Kwetsbaarheden in VMware: Geen Patches zonder Ondersteuning

Broadcom heeft onlangs het beveiligingsbulletin VMSA-2025-0013 gepubliceerd, waarin vier kritieke kwetsbaarheden worden onthuld die VMware ESXi en VMware Tools voor Windows beïnvloeden. Deze kwetsbaarheden hebben CVSS-scores tussen 7,1 en 9,3 en maken het mogelijk om op een vreselijke manier uit een virtuele machine (VM) te ontsnappen en code uit te voeren op de hypervisor van de gecompromitteerde VM.

Commercieel Beleid: Ondersteuning Obtieven voor Updates

Wat echter nog zorgwekkender is dan de technische ernst van deze kwetsbaarheden, is het commerciële beleid van Broadcom. Zonder een actief ondersteuningscontract kunnen klanten geen toegang krijgen tot de patches, zelfs niet als zij legitieme perpetuele licenties bezitten.

“Het is onacceptabel dat een kritieke kwetsbaarheid niet verholpen kan worden zonder dat je een extra vergoeding betaalt. Dit beleid verandert bedrijfssoftware in een systemisch risico,” aldus David Carrero, expert in cloud-infrastructuur en medeoprichter van Stackscale.

Welke Versies Zijn Geïnvesteerd?

De kwetsbaarheden treffen meerdere versies van VMware ESXi:

  • ESXi 8.0: vereist een update naar ESXi80U3f-24784735 of ESXi80U2e-24789317.
  • ESXi 7.0: vereist een update naar ESXi70U3w-24784741.

Daarnaast is VMware Tools voor Windows getroffen door een kwetsbaarheid die leidt tot geheugendivulgatie (CVE-2025-41239) en vereist een update naar:

  • Tools 13.0.1.0 of
  • Tools 12.5.3 (voor Windows 32-bit).

Technische Analyse van de Kwetsbaarheden

De kwetsbaarheden werden geïdentificeerd tijdens het evenement Pwn2Own Berlin 2025:

  • CVE-2025-41236 (VMXNET3): Integer overflow maakt code-uitvoering op de host mogelijk vanuit de VM.
  • CVE-2025-41237 (VMCI): Subtractie onder de grenzen die het schrijven buiten de grenzen mogelijk maakt.
  • CVE-2025-41238 (PVSCSI): Heap overflow.
  • CVE-2025-41239 (vSockets): Geheugenlek van hostprocessen naar de VM.

Alle kwetsbaarheden vereisen dat de aanvaller beheerdersrechten heeft op de gecompromitteerde VM, maar ze stellen verschillende niveaus van compromis van de host mogelijk.

De Barrière van Ondersteuning: Geen Contract, Geen Updates

Broadcom heeft in het verleden bevestigd dat:

“Alleen klanten met een actief ondersteuningscontract en geldige licenties voor de desbetreffende versie kunnen de patches zien of downloaden.”

Dit betekent dat gebruikers met omgevingen die geen ondersteuning hebben vernieuwd, of die gebruikmaken van verouderde versies zonder een bijgewerkt contract, geen wettelijk recht hebben om enige patch toe te passen, ook al zijn ze rechtstreeks getroffen door kritieke fouten.

Implicaties voor Systeembeheerders

Acties die Moeten Worden Ondernomen:

  1. VMware ESXi moet verplicht worden geüpdatet naar de juiste gecorrigeerde versie.
  2. VMware Tools op Windows-machines moet handmatig worden bijgewerkt (staat niet in Windows Update).
  3. Er zijn geen alternatieve oplossingen of mitigerende maatregelen beschikbaar.
  4. VCenter hoeft niet te worden bijgewerkt, maar compatibiliteit moet worden gecontroleerd voordat patches worden toegepast.
  5. Het gebruik van Live Patch is alleen mogelijk in omgevingen met vSphere Foundation 9.0, en wordt niet ondersteund op hosts met actieve TPM.
  6. Klanten met verouderde omgevingen (vSphere 6.5/6.7) moeten upgraden naar vSphere 7 of 8 met uitgebreide ondersteuning om patches te kunnen toepassen.

Aanbevelingen

  • Direct de versie van ESXi en VMware Tools auditen.
  • Controleren of er actieve ondersteuning is en of de getroffen versie recht heeft op een patch.
  • Dringend migraties of ondersteuning renovaties plannen om toegang te krijgen tot updates.
  • Een noodplan opstellen als patching niet mogelijk is (verkleining van vectoren, segmentatie, isolatie).
  • Bij kritieke infrastructuur, overweeg om over te stappen op hypervisors met een betere patchingbeleid (zoals Proxmox, KVM, Nutanix CE, etc.).

Conclusie

De publicatie van VMSA-2025-0013 legt niet alleen de technische kwetsbaarheden in ESXi en VMware Tools bloot, maar ook de nieuwe commerciële realiteit die door Broadcom is opgelegd: cybersecurity wordt een privilege, geen gedeelde verantwoordelijkheid.

Carrero verwoordt de situatie helder:

“Met zulke beleidslijnen duwt Broadcom veel beheerders om hun loyaliteit aan VMware te heroverwegen. Digitale soevereiniteit begint ook met de mogelijkheid om je infrastructuur zonder oneerlijke voorwaarden te beschermen.”

Share on LinkedIn Share on WhatsApp
Scroll naar boven