Broadcom hat drei hochkritische Zero-Day Schwachstellen in VMware-Produkten identifiziert, die bereits aktiv von Angreifern ausgenutzt werden. Das Microsoft Threat Intelligence Center bestätigte den Einsatz dieser Sicherheitslücken in realen Angriffsszenarien, was die Bedrohungslage für betroffene Systeme erheblich verschärft.
Analyse der entdeckten Schwachstellen
Die schwerwiegendste Schwachstelle CVE-2025-22224 mit einem CVSS-Score von 9.3 wurde im VCMI-Komponenten lokalisiert. Diese Heap-Overflow-Schwachstelle ermöglicht es Angreifern mit VM-Administratorrechten, beliebigen Code im Kontext des VMX-Prozesses auf dem Host-System auszuführen. Betroffen sind die Produkte VMware ESXi und Workstation.
Eine weitere kritische Schwachstelle CVE-2025-22225 (CVSS 8.2) ermöglicht durch unkontrollierte Kernel-Schreibzugriffe in ESXi via VMX-Prozess eine Umgehung der VM-Isolation. Diese Sicherheitslücke betrifft ausschließlich VMware ESXi-Systeme.
Technische Implikationen und Risiken
Die dritte identifizierte Schwachstelle CVE-2025-22226 (CVSS 7.1) im HGFS-Komponenten ermöglicht privilegierten Angreifern das Auslesen von VMX-Prozessspeicher. Diese Schwachstelle wurde in ESXi, Workstation und Fusion nachgewiesen.
Betroffene Systeme und Infrastruktur
Die Sicherheitslücken betreffen folgende VMware-Produkte:
– VMware ESXi und vSphere
– VMware Workstation und Fusion
– VMware Cloud Foundation
– VMware Telco Cloud Platform
Empfohlene Sicherheitsmaßnahmen
Aufgrund der aktiven Ausnutzung dieser Schwachstellen wird Systemadministratoren dringend empfohlen:
– Unmittelbare Installation verfügbarer Sicherheitsupdates
– Verstärktes Monitoring verdächtiger Aktivitäten
– Durchführung forensischer Analysen auf Kompromittierungsanzeichen
– Implementierung strikter Zugriffskontrollen für virtuelle Maschinen
– Regelmäßige Sicherheitsaudits der virtualisierten Infrastruktur
Die Kombination dieser Schwachstellen stellt eine ernsthafte Bedrohung für Virtualisierungsumgebungen dar. Besonders kritisch ist, dass Angreifer nach erfolgreicher Kompromittierung einer einzelnen VM die Isolation durchbrechen und Zugriff auf den Hypervisor erlangen können. Dies gefährdet potenziell alle virtuellen Maschinen in der betroffenen Umgebung. Unternehmen sollten umgehend die empfohlenen Sicherheitsmaßnahmen umsetzen und ihre Virtualisierungsinfrastruktur entsprechend absichern.
