Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Le 4 mars, Broadcom a émis une alerte de sécurité d’urgence exhortant certains clients VMware à installer immédiatement une mise à jour. Cet avertissement fait suite à la découverte de trois vulnérabilités critiques de type zero-day affectant plusieurs produits et activement exploitées. Les détails des vulnérabilités, des produits et versions concernés, ainsi que des correctifs, sont présentés ci-dessous.
À propos des vulnérabilités
Les vulnérabilités, collectivement appelées "ESXicape", ont été découvertes par des chercheurs du MSTIC, qui les ont ensuite signalées à Broadcom. Voici comment des attaquants pourraient exploiter ces failles dans un environnement réel :
- Accès initial : Les attaquants peuvent accéder à une machine virtuelle disposant de faibles privilèges en utilisant des identifiants volés, des attaques de phishing ou en exploitant des politiques d’authentification insuffisantes.
- Élévation de privilèges et évasion de la machine virtuelle : L’exploitation de ces vulnérabilités (notamment CVE-2025-22224, décrite ci-dessous) permet aux attaquants de s’échapper de la machine virtuelle et d’accéder à l’hyperviseur sous-jacent.
- Mouvement latéral : Une fois à l’intérieur, l’attaquant peut pivoter vers d’autres machines virtuelles exécutées sur le même hôte et exfiltrer des données sensibles.
- Persistance : L’attaquant peut déployer des portes dérobées ou des logiciels malveillants afin de maintenir un accès à long terme à l’infrastructure.
Identifiants
Les vulnérabilités sont suivies sous les identifiants suivants :
| Identifiant | Produits affectés | Menace | CVSS |
|---|---|---|---|
| CVE-2025-22224 | VMware ESXi, VMware Workstation | Vulnérabilité TOCTOU (Time-of-Check Time-of-Use) entraînant une écriture hors limites. | Gravité critique, score CVSSv3 maximum de 9.3 |
| CVE-2025-22225 | VMware ESXi | Vulnérabilité d’écriture arbitraire. | Gravité importante, score CVSSv3 maximum de 8.2 |
| CVE-2025-22226 | VMware ESXi, VMware Workstation, VMware Fusion | Vulnérabilité de divulgation d’informations due à une lecture hors limites dans Host Guest File System (HGFS). | Gravité importante, score CVSSv3 maximum de 7.1 |
Versions concernées
Broadcom a confirmé que les versions suivantes de ses produits sont vulnérables, quelle que soit la machine sur laquelle elles sont exécutées :
- VMware ESXi : versions 8.0 et 7.0
- VMware Workstation : versions 17.x
- VMware Fusion : versions 13.x
- VMware Cloud Foundation : versions 5.x et 4.5x
- VMware Telco Cloud Platform : versions 5.x, 4.x, 3.x, 2.x
- VMware Telco Cloud Infrastructure : versions 3.x et 2.x
Attaques actives
Selon un rapport, ces vulnérabilités sont actuellement exploitées par un groupe de rançongiciel encore non identifié. Broadcom a également reconnu avoir des "informations suggérant que ces vulnérabilités sont exploitées dans la nature". Cependant, à ce jour, l’entreprise n’a pas communiqué de détails sur la nature des attaques ni sur l’identité des acteurs malveillants.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté ces trois vulnérabilités zero-day à son catalogue des vulnérabilités exploitées connues (KEV) et a ordonné à toutes les agences civiles fédérales d’appliquer le correctif d’ici le 25 mars 2025.
Correctifs
Broadcom a précisé qu’aucune solution de contournement n’est disponible. Par conséquent, les clients concernés sont invités à télécharger et installer immédiatement les versions corrigées depuis le site officiel de l’entreprise. Une documentation complémentaire, incluant une FAQ et des références, est également fournie.
Perspectives et conseils du Responsable de la Sécurité de l’Information chez Devolutions, Patrick Pilotte
Dans un monde idéal, les vulnérabilités zero-day n’existeraient pas. Malheureusement, cette attente n’est pas réaliste. C’est pourquoi nous pensons que tous les éditeurs de logiciels, même ceux qui effectuent déjà des tests rigoureux et des simulations d’attaques (red teaming), devraient mettre en place un programme de Bug Bounty. Chez Devolutions, notre programme encourage et récompense les chercheurs qui tentent de "pirater et compromettre" nos produits afin d’identifier et de corriger les vulnérabilités de manière proactive.
De plus, les solutions de sécurité Devolutions peuvent aider les organisations à réduire les risques et l’impact des vulnérabilités zero-day :
- Devolutions Server - Gestion avancée des accès privilégiés (PAM)
◦ Restreint les privilèges administratifs aux seuls utilisateurs autorisés, réduisant ainsi la surface d’attaque. ◦ Surveille et audite en temps réel l’activité des utilisateurs privilégiés, permettant de détecter et de réagir rapidement aux comportements suspects. ◦ Atténue les risques liés aux CVE (y compris ceux affectant les produits VMware) en protégeant les comptes administrateurs dans le PAM.
- Devolutions Hub - Gestion sécurisée des identifiants
◦ Empêche l’accès non autorisé grâce au stockage centralisé et chiffré des identifiants. ◦ Renforce la sécurité grâce à une rotation automatique des mots de passe, réduisant les risques liés aux identifiants compromis.
- Devolutions Gateway - Accès distant sécurisé
◦ Offre une approche Zero Trust de l’accès distant, empêchant tout mouvement latéral en cas de compromission d’une VM. ◦ L’isolation des sessions garantit que même en cas de violation d’une machine virtuelle, les attaquants ne peuvent pas facilement se déplacer vers d’autres systèmes internes. ◦ Réduit les risques lorsqu’il est installé sur le serveur vCenter (si hébergé sur Windows) en contrôlant l’accès à vCenter.
Le mot de la fin
VMware occupe une position dominante sur le marché de la virtualisation. Malheureusement, cette popularité en fait également une cible privilégiée pour les cybercriminels cherchant une clé d’accès universelle à de nombreux comptes et machines. On estime qu’environ 85 000 entreprises dans le monde, y compris de nombreuses petites et moyennes entreprises, utilisent VMware comme outil de virtualisation.
Les organisations ne devraient pas adopter une approche passive et attendre la prochaine alerte de sécurité d’urgence de Broadcom — qui pourrait arriver trop tard. Elles doivent au contraire agir de manière proactive en mettant en place des solutions réduisant le risque d’accès non autorisé et renforçant la gestion des identifiants. Il s’agit d’un investissement stratégique et intelligent pour leur sécurité. Face aux coûts potentiellement catastrophiques d’une violation, cette démarche pourrait être un facteur clé pour leur survie à long terme.
