Une faille ultra critique et activement exploitée permet aux cyberattaquants de s’affranchir des limites de la virtualisation pour prendre le contrôle des serveurs. Une semaine après la disponibilité du patch, plus de 37 000 instances VMware ESXi restent exposées. Les experts exhortent les administrateurs à réagir avant qu’il ne soit trop tard.

La semaine dernière Broadcom lançait une alerte de sécurité critique après la découverte de trois vulnérabilités zero-day déjà exploitées à grande échelle par les cyberattaquants. Elles affectent le cœur de virtualisation de VMware ESXi, Workstation et Fusion.

Si les failles CVE-2025-22225 (vulnérabilité d’écriture arbitraire de criticité CVSS 8,2) et CVE-2025-22226 (faille de divulgation d’information de niveau CVSS 7,1) doivent rapidement être comblées, c’est surtout la faille CVE-2025-22224 qui affole les RSSI et l’univers de la cybersécurité.

Cette vulnérabilité de type TOCTOU (time-of-check time-of-use) évaluée à 9,3 sur l’échelle CVSS permet aux cyberattaquants disposant déjà d’un accès administrateur sur une machine virtuelle de prendre le contrôle du processus VMX sur l’hyperviseur et donc de toute l’infrastructure sous-jacente en s’échappant du périmètre virtuel (autrement dit de la VM) pour compromettre l’hyperviseur et, par ricochet, l’ensemble de l’infrastructure et des VMs hébergées sur le serveur.

La semaine dernière Shadowserver Foundation révélait que plus de 41 000 instances de VMware ESXi étaient exposées, avec une concentration importante en Chine, en France et aux États-Unis.

Six jours plus tard, plus de 37.000 serveurs seraient toujours vulnérables – dont plus de 4000 en France et 3800 aux USA – un manque de réactivité qui inquiète l’ANSSI française et la CISA américaine (cette dernière avait la semaine dernière ordonné à tous les organismes américains de patcher leurs serveurs dans les 15 jours).

Face à ce risque, Broadcom implore ses utilisateurs de vérifier la vulnérabilité de leurs systèmes – notamment VMware ESXi (versions 7.0 et 8.0), Cloud Foundation, Telco Cloud Platform et Telco Cloud Infrastructure, ainsi que Workstation et Fusion – et de déployer immédiatement les mises à jour disponibles.

Pour obtenir les patchs : Support Content Notification – Broadcom

 

À lire également :

Vulnérabilités : Comment les organisations peuvent-elles se protéger en l’absence de correctif ? Pierre de Neve, Trend Micro

Google Big Sleep : Quand l’IA découvre seule des failles Zero-Day

Cybersécurité Mobile : Qualcomm sonne l’alarme et corrige 20 vulnérabilités

Prévisions 2025 : quels défis Cyber pour les entreprises ?

Le CISPE répond à Broadcom : le compte n’y est pas

Des failles de sécurité dans la plateforme IA de SAP

Au moins 60 000 entreprises espionnées via une faille « Zero Day » Exchange Server

Broadcom/VMware : Chronique d’un naufrage annoncé [Emission Spéciale]