VMware ESXi zero-days likely exploited a year before disclosure

Exploitation Précoce de Vulnérabilités VMware ESXi

Des acteurs de menaces liés à la Chine auraient utilisé un exploit toolkit sophistiqué pour compromettre des environnements VMware ESXi, potentiellement plus d’un an avant la divulgation publique des vulnérabilités exploitées. L’accès initial aurait été obtenu via un appliance VPN SonicWall compromis. Les attaquants auraient ensuite utilisé une chaîne d’exploitation pour échapper à une machine virtuelle (VM) et prendre le contrôle de l’hyperviseur ESXi sous-jacent.

Points Clés :

• Utilisation d’un exploit toolkit qui semble avoir été développé avant la divulgation des vulnérabilités.
• Accès initial obtenu par le biais d’un appliance VPN SonicWall compromis.
• Chaîne d’exploitation permettant une évasion de VM vers l’hyperviseur ESXi.
• Le toolkit comprend des composants tels que MAESTRO, MyDriver.sys, VSOCKpuppet et GetShell Plugin.
• Indicateurs de développement datant de février et novembre 2024, bien avant la divulgation des CVE en mars 2025.
• Indice d’une origine dans une région sinophone, mais avec une possible intention de partage ou de vente à d’autres acteurs malveillants.

Vulnérabilités Exploités (potentiellement) :

• CVE-2025-22226 (Gravité : 7.1) : Lecture hors bornes (out-of-bounds read) dans HGFS permettant la fuite de mémoire du processus VMX.
• CVE-2025-22224 (Gravité : 9.3) : Vulnérabilité de type TOCTOU (Time-of-check to time-of-use) dans l’interface de communication de machine virtuelle (VMCI) menant à une écriture hors bornes, permettant l’exécution de code en tant que processus VMX.
• CVE-2025-22225 (Gravité : 8.2) : Écriture arbitraire (arbitrary write) dans ESXi permettant de s’échapper du sandbox VMX vers le noyau.

Recommandations :

• Appliquer les mises à jour de sécurité ESXi les plus récentes.
• Utiliser les règles YARA et Sigma fournies pour une détection précoce.

Source