Sommario
Broadcom ha rilasciato aggiornamenti per risolvere tre vulnerabilità critiche nei prodotti VMware ESXi, Workstation, Fusion, Cloud Foundation e Telco Cloud Platform, dopo che Microsoft Threat Intelligence ha confermato attacchi attivi sfruttando queste falle.
Le vulnerabilità zero-day scoperte e il loro impatto
Le vulnerabilità identificate sono state classificate come CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226. Questi exploit permettono agli attaccanti con privilegi amministrativi all’interno di una macchina virtuale di evadere il sandboxing ed eseguire codice direttamente sull’host sottostante.
- CVE-2025-22224: heap overflow nel modulo VMCI di VMware, con un punteggio CVSS 9.3, consentendo agli attaccanti di ottenere il controllo del processo VMX del sistema host.
- CVE-2025-22225: vulnerabilità di scrittura arbitraria in VMware ESXi, con CVSS 8.2, permettendo l’esecuzione di codice con privilegi di sistema.
- CVE-2025-22226: fuga di informazioni nel servizio HGFS, con CVSS 7.1, che consente la lettura di dati sensibili dal processo VMX.
Queste falle permettono agli attori delle minacce di spostarsi lateralmente attraverso le infrastrutture virtualizzate, un rischio significativo per ambienti aziendali che si affidano a VMware per la gestione dei server cloud.
Vulnerabilità sfruttate attivamente dagli hacker
Broadcom ha confermato che le vulnerabilità sono già state utilizzate in attacchi reali, rendendo l’aggiornamento urgente per tutte le aziende che utilizzano le piattaforme VMware.
Negli ultimi anni, i prodotti VMware sono stati spesso bersaglio di gruppi hacker sponsorizzati da stati e di attori ransomware. Ad esempio, nel novembre 2024, Broadcom aveva segnalato l’uso di un exploit zero-day per attacchi contro vCenter Server, mentre nel 2023 un gruppo cinese aveva sfruttato una falla in vCenter Server per due anni consecutivi, distribuendo malware VirtualPita e VirtualPie su host ESXi compromessi.
Come proteggersi: patch disponibili e misure di mitigazione
Broadcom ha rilasciato patch di sicurezza per i seguenti prodotti:
- VMware ESXi (versioni 7.0 e 8.0)
- VMware Workstation Pro e Player (versione 17.x)
- VMware Fusion (versione 13.x)
- VMware Cloud Foundation (versioni 4.x e 5.x)
- VMware Telco Cloud Platform e Infrastructure
Gli utenti sono invitati ad aggiornare immediatamente i propri sistemi per prevenire possibili compromissioni. Non sono disponibili soluzioni alternative (workaround), il che rende l’applicazione della patch l’unica protezione efficace contro gli attacchi.
Per maggiori dettagli sugli aggiornamenti e per scaricare le patch, Broadcom ha pubblicato un avviso di sicurezza ufficiale disponibile qui.
Rischio elevato per le aziende che usano VMware
Le tre vulnerabilità zero-day appena corrette rappresentano un rischio critico per qualsiasi organizzazione che utilizza VMware ESXi o le altre piattaforme virtualizzate. Gli attacchi già avvenuti dimostrano che questi exploit sono efficaci e in uso attivo, rendendo l’installazione delle patch un’operazione prioritaria per chiunque utilizzi VMware nei propri ambienti cloud e on-premise.
