Американский технологический гигант Broadcom предупреждает, что трио уязвимостей в VMware активно используется злоумышленниками для взлома сетей его корпоративных клиентов.
Три уязвимости, которые один из исследователей безопасности назвал «ESXicape», затрагивают VMware ESXi, Workstation и Fusion - широко используемые программные гипервизоры, позволяющие управлять несколькими виртуальными машинами на одном сервере. Гипервизоры обычно используются для уменьшения необходимости занимать место на физическом сервере.
Компания Broadcom, которая приобрела VMware в 2023 году, заявила, что уязвимости (обозначенные как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226) могут позволить злоумышленнику с правами администратора или root на виртуальной машине выйти из защищенной песочницы и получить более широкий несанкционированный доступ к базовому продукту гипервизора.
Получив доступ к гипервизору, злоумышленник может получить доступ к любой другой виртуальной машине, включая виртуальные системы, принадлежащие другим компаниям в том же физическом центре обработки данных.
Broadcom заявляет, что у нее есть «информация, позволяющая предположить», что уязвимости были использованы в дикой природе.
«Злоумышленник, взломавший гипервизор, может получить доступ к любым другим виртуальным машинам, использующим тот же гипервизор», - сказал TechCrunch Стивен Фьюэр, главный исследователь безопасности в компании Rapid7, занимающейся анализом угроз.
Компания Broadcom не сообщила никаких подробностей о характере атак или о том, кто за ними стоит, а также не сказала, были ли получены данные клиентов. Представитель Broadcom не ответил на вопросы TechCrunch. Компания Microsoft, которая обнаружила уязвимость и сообщила о ней Broadcom, также не ответила на вопросы журналистов.
Исследователь безопасности Кевин Бомонт (Kevin Beaumont) в своем посте на сайте Mastodon сообщил, что эти три уязвимости активно эксплуатируются пока еще неназванной группой разработчиков выкупного ПО.
Уязвимости VMware часто становятся мишенью для групп вымогателей из-за возможности их использования для компрометации нескольких серверов в ходе одной атаки, а также из-за того, что в таких виртуализированных средах часто хранятся важные корпоративные данные.
В 2024 году компания Microsoft обнаружила, что несколько групп вымогателей используют недостаток гипервизора VMware в атаках с применением вымогательских программ Black Basta и LockBit для похищения корпоративных данных. В прошлом году в ходе масштабной хакерской кампании, получившей название «ESXIArgs», группы разработчиков вымогательского ПО использовали уязвимость VMware двухлетней давности для атак на тысячи организаций по всему миру.
Компания Broadcom выпустила исправления для трех уязвимостей, которые относятся к категории «нулевого дня», поскольку были использованы до того, как стало доступно исправление. Broadcom назвала свой совет по безопасности «экстренным» изменением и настоятельно рекомендует клиентам как можно скорее применить исправления.
source: https://techcrunch.com/2025/03/05/b...ency-zero-day-bugs-under-active-exploitation/
Три уязвимости, которые один из исследователей безопасности назвал «ESXicape», затрагивают VMware ESXi, Workstation и Fusion - широко используемые программные гипервизоры, позволяющие управлять несколькими виртуальными машинами на одном сервере. Гипервизоры обычно используются для уменьшения необходимости занимать место на физическом сервере.
Компания Broadcom, которая приобрела VMware в 2023 году, заявила, что уязвимости (обозначенные как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226) могут позволить злоумышленнику с правами администратора или root на виртуальной машине выйти из защищенной песочницы и получить более широкий несанкционированный доступ к базовому продукту гипервизора.
Получив доступ к гипервизору, злоумышленник может получить доступ к любой другой виртуальной машине, включая виртуальные системы, принадлежащие другим компаниям в том же физическом центре обработки данных.
Broadcom заявляет, что у нее есть «информация, позволяющая предположить», что уязвимости были использованы в дикой природе.
«Злоумышленник, взломавший гипервизор, может получить доступ к любым другим виртуальным машинам, использующим тот же гипервизор», - сказал TechCrunch Стивен Фьюэр, главный исследователь безопасности в компании Rapid7, занимающейся анализом угроз.
Компания Broadcom не сообщила никаких подробностей о характере атак или о том, кто за ними стоит, а также не сказала, были ли получены данные клиентов. Представитель Broadcom не ответил на вопросы TechCrunch. Компания Microsoft, которая обнаружила уязвимость и сообщила о ней Broadcom, также не ответила на вопросы журналистов.
Исследователь безопасности Кевин Бомонт (Kevin Beaumont) в своем посте на сайте Mastodon сообщил, что эти три уязвимости активно эксплуатируются пока еще неназванной группой разработчиков выкупного ПО.
Уязвимости VMware часто становятся мишенью для групп вымогателей из-за возможности их использования для компрометации нескольких серверов в ходе одной атаки, а также из-за того, что в таких виртуализированных средах часто хранятся важные корпоративные данные.
В 2024 году компания Microsoft обнаружила, что несколько групп вымогателей используют недостаток гипервизора VMware в атаках с применением вымогательских программ Black Basta и LockBit для похищения корпоративных данных. В прошлом году в ходе масштабной хакерской кампании, получившей название «ESXIArgs», группы разработчиков вымогательского ПО использовали уязвимость VMware двухлетней давности для атак на тысячи организаций по всему миру.
Компания Broadcom выпустила исправления для трех уязвимостей, которые относятся к категории «нулевого дня», поскольку были использованы до того, как стало доступно исправление. Broadcom назвала свой совет по безопасности «экстренным» изменением и настоятельно рекомендует клиентам как можно скорее применить исправления.
source: https://techcrunch.com/2025/03/05/b...ency-zero-day-bugs-under-active-exploitation/