Portal Portal Forum Forum Devolutions Force Devolutions Force Hub Business Hub Business Hub Personal Hub Personal Devolutions Send Devolutions Send Download RDM RDM Workspace Workspace Launcher Launcher
Sicherheit

Aktive Ausnutzung - Zero-Day-Schwachstellen in VMware-Produkten

Newsflash vmware devolutions blog

Broadcom hat eine Sicherheitswarnung bezüglich drei kritischer Zero-Day-Schwachstellen in VMware-Produkten herausgegeben, die aktiv ausgenutzt werden. Ein sofortiges Patchen ist erforderlich.

Steven Lafortune
Steven Lafortune

Hi! Ich bin Steven Lafortune—tagsüber Kommunikationsmeister bei Devolutions, nachts Riff-schmetternder Gitarrist und dazwischen der ultimative Hockey-Kommentator. Wenn ich nicht gerade Hyrule in The Legend of Zelda rette oder die Extended Edition von Der Herr der Ringe zum 235.476. Mal anschaue, findet man mich wahrscheinlich auf einem Konzert. Schlagfertig, immer für einen Lacher zu haben und voller frischer Ideen bringe ich die gleiche Energie in meine Arbeit wie auf die Bühne.

View more posts

Am 4. März hat Broadcom eine Sicherheitswarnung herausgegeben, in der einige VMware-Kunden dazu aufgefordert werden, sofort ein Update zu installieren. Die Warnung erfolgte, nachdem ein Trio kritischer Zero-Day-Fehler in mehreren Produkten gefunden wurde, das aktiv ausgenutzt wird. Einzelheiten zu den Schwachstellen, den betroffenen Produkten/Versionen und den Fehlerbehebungen finden Sie im Folgenden.

Über die Schwachstellen

Die Schwachstellen, die unter dem Namen „ESXicape“ zusammengefasst wurden, wurden von den Forschern des MSTIC entdeckt und Broadcom gemeldet. Im Folgenden wird beschrieben, wie Angreifer diese Fehler in der realen Welt ausnützen können:

  • Erster Zugriff: Angreifer können über gestohlene Anmeldeinformationen, Phishing oder schwache Authentifizierungsrichtlinien Zugriff auf eine virtuelle Maschine mit geringen Rechten erhalten.
  • Eskalation der Privilegien & VM-Escape: Die Ausnutzung von Schwachstellen (insbesondere CVE-2025-22224, wie unten beschrieben) ermöglicht es dem Angreifer, aus der VM auszubrechen und auf den zugrunde liegenden Hypervisor zuzugreifen.
  • Laterale Bewegung: Sobald der Angreifer in das System eingedrungen ist, kann er auf andere virtuelle Maschinen überwechseln, die auf demselben Host laufen, und sensible Daten exfiltrieren.
  • Dauerhaftigkeit: Der Angreifer könnte Backdoors oder Malware einsetzen, um langfristig die Kontrolle über die Infrastruktur zu behalten.

Bezeichnungen

Die Schwachstellen werden unter den folgenden Bezeichnungen verfolgt:

Bezeichnungen Betroffene Produkte Bedrohung CVSS
CVE-2025-22224 VMware ESXi, VMware Workstation Enthält eine Time-of-Check Time-of-Use (TOCTOU)-Schwachstelle, die zu einem Out-of-bounds-Write führt. Kritischer Schweregrad, CVSSv3 Basisbewertung von 9.3
CVE-2025-22225 VMware ESXi Enthält eine Schwachstelle für Arbitrary-Write. Wichtiger Schweregrad, CVSSv3 Basisbewertung von 8.2
CVE-2025-22226 VMware ESXi, VMware Workstation, VMware Fusion Enthält eine Schwachstelle in Bezug auf Offenlegung von Informationen aufgrund eines Out-of-bounds-Read im Host Guest File System (HGFS). Wichtiger Schweregrad, CVSSv3 Basisbewertung von 7.1

Versionen

Broadcom hat bestätigt, dass die folgenden, auf beliebigen Rechnern laufenden Produktversionen anfällig sind:

  • VMware ESXi-Versionen: 8,0; 7,0.
  • VMware Workstation-Versionen: 17.x
  • VMware Fusion: 13.x
  • VMware Cloud Foundation: 5.x 4.5x
  • VMware Telco Cloud Platform: 5.x; 4.x; 3.x; 2.x
  • VMware Telco Cloud Infrastructure: 3.x 2.x

Aktive Angriffe

Einem Bericht zufolge werden die Schwachstellen aktiv von einer noch nicht benannten Ransomware-Gruppe ausgenutzt. Broadcom hat zudem eingeräumt, dass es „Informationen hat, die darauf hindeuten, dass diese Schwachstellen in freier Natur ausgenutzt wurden.“ Bislang hat das Unternehmen jedoch noch keine Einzelheiten über die Art der Angriffe oder die Identität der Bedrohungsakteure bekannt gegeben. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die drei Zero-Day-Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und alle zivilen Bundesbehörden angewiesen, die Patches bis zum 25. März 2025 zu installieren.

Fehlerbehebungen

Broadcom hat mitgeteilt, dass kein Workaround verfügbar ist. Daher wird den betroffenen Kunden empfohlen, sofort die gepatchten Versionen von der Website des Unternehmens herunterzuladen und zu installieren. Darüber hinaus wird zusätzliche Dokumentation bereitgestellt, darunter FAQs und Referenzen.

Einblicke & Ratschläge von Devolutions Manager für Informationssicherheit Patrick Pilotte

In einer perfekten Welt gäbe es keine Zero-Day-Schwachstellen. Leider ist diese Vorstellung nicht realistisch. Aus diesem Grund sind wir der Meinung, dass alle Anbieter - auch diejenigen, die bereits strenge Tests und Read Teaming durchführen - ein Bug Bounty-Programm einrichten sollten. Unser Programm bei Devolutions ermutigt und motiviert Forschende, unsere Produkte „anzugreifen und zu knacken“, sodass wir proaktiv Schwachstellen erkennen und beheben können.

Zusätzlich können Devolutions Sicherheitslösungen Unternehmen dabei unterstützen, das Risiko und die Auswirkungen zu verringern, die von Zero-Day-Schwachstellen ausgehen:

Beschränkt die administrativen Privilegien auf autorisierte Nutzer und reduziert so die Angriffsfläche.

Überwacht und prüft Aktivitäten privilegierter Nutzer in Echtzeit und hilft Unternehmen, unbefugtes oder verdächtiges Verhalten schnell zu erkennen und darauf zu reagieren.

Verringert die Risiken durch CVEs (Sicherheitsbedrohungen - einschließlich derjenigen im Zusammenhang mit VMware-Produkten) durch den Schutz des Administrator-Kontos in PAM.

Verhindert unbefugten Zugriff durch die Durchsetzung einer zentralisierten, verschlüsselten Speicherung von Anmeldeinformationen.

Erhöht die Sicherheit durch automatische Passwortrotation und reduziert so die Risiken, die mit kompromittierten Anmeldedaten verbunden sind.

Bietet einen Zero-Trust-Ansatz für den Remote-Zugriff und verhindert laterale Bewegungen im Falle einer kompromittierten virtuellen Maschine.

Sitzungsisolierung stellt sicher, dass Angreifer selbst nach dem Eindringen in eine virtuelle Maschine nicht einfach auf andere Systeme übergreifen können.

Verringert die Risiken, wenn es auf dem vCenter Server (sofern unter Windows gehostet) installiert wird, um den Zugriff auf vCenter zu kontrollieren.

Ein abschließendes Wort

VMware genießt auf dem Virtualisierungsmarkt eine dominante Stellung. Leider macht es diese Popularität auch zu einem bevorzugten Ziel für bösartige Akteure, die auf der Suche nach einem Generalschlüssel sind, um zahlreiche Konten und Maschinen zu infiltrieren. Schätzungsweise 85.000 Unternehmen weltweit, darunter viele kleine und mittelständische Unternehmen, nutzen VMware als Virtualisierungs-Tool.

Unternehmen sollten nicht passiv bleiben und auf das nächste Notfall-Sicherheitsbulletin von Broadcom warten - das für sie möglicherweise zu spät kommt. Stattdessen sollten sie proaktiv handeln und Lösungen implementieren, die das Risiko eines unbefugten Zugriffs verringern und gleichzeitig die allgemeine Verwaltung von Anmeldeinformationen stärken. Es handelt sich um eine kluge und strategische Investition in ihr Sicherheitsprofil, die angesichts der potenziell katastrophalen Kosten einer Sicherheitsverletzung ein entscheidender Faktor für ihr langfristiges Überleben sein könnte.

Table of contents
Related Posts

Read more Sicherheit posts