Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CISA: VMware ESXi flaw now exploited in ransomware attacks

1 minute de lecture

Mis à jour :

Exploitation de vulnérabilités VMware ESXi dans des attaques par ransomware

Une faille de sécurité critique affectant VMware ESXi, initialement utilisée dans des attaques zero-day sophistiquées, est désormais exploitée dans des campagnes de ransomware. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues exploitées, signalant son utilisation active par des acteurs malveillants.

Points Clés:

  • Des groupes de ransomware ciblent activement une vulnérabilité VMware ESXi permettant une évasion de sandbox.
  • Cette vulnérabilité était auparavant utilisée dans des attaques zero-day, potentiellement depuis début 2024 par des acteurs basés en Chine.
  • Les produits VMware sont des cibles privilégiées car ils hébergent souvent des données sensibles dans les environnements d’entreprise.

Vulnérabilités:

  • CVE-2025-22225: Vulnérabilité d’écriture arbitraire dans le noyau du processus VMX, permettant une évasion de la sandbox. Cette faille a été corrigée par Broadcom en mars 2025.
  • CVE-2025-22226: Fuite de mémoire (corrigée en mars 2025).
  • CVE-2025-22224: Vulnérabilité TOCTOU (Time-of-check to time-of-use) (corrigée en mars 2025).

D’autres vulnérabilités VMware ont également été signalées comme exploitées récemment, notamment :

  • CVE-2025-41244: Vulnérabilité dans VMware Aria Operations et VMware Tools (corrigée et signalée exploitée depuis octobre 2024).
  • CVE-2024-37079: Vulnérabilité critique RCE dans VMware vCenter Server (signalée exploitée en janvier).

Recommandations:

  • Appliquer les correctifs et les mesures d’atténuation recommandés par le fournisseur (Broadcom).
  • Suivre les directives applicables, y compris celles relatives aux services cloud.
  • En l’absence de mesures d’atténuation, envisager l’interruption de l’utilisation du produit concerné.
  • Les agences fédérales américaines ont reçu l’ordre de sécuriser leurs systèmes affectés dans des délais impartis par les directives opérationnelles contraignantes (Binding Operational Directives - BOD).

Source

Vous pourriez aimer