CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-22224

VMware ESXi/Workstation: TOCTOU umożliwia ucieczkę z VM przez VMX process

CVSS 9.3v3.1pub. 2025-03-04upd. 2025-10-30

Podatność typu TOCTOU (Time-of-Check Time-of-Use) w VMware ESXi i Workstation prowadzi do zapisu poza granicami bufora (out-of-bounds write). Jest szczególnie groźna, ponieważ pozwala atakującemu na wykonanie kodu w kontekście procesu VMX działającego na hoście, co oznacza ucieczkę z maszyny wirtualnej.

Pokaż oryginał (EN)

VMware ESXi, and Workstation contain a TOCTOU (Time-of-Check Time-of-Use) vulnerability that leads to an out-of-bounds write. A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine's VMX process running on the host.

🤖 Analiza AI
Jak działa

Podatność wynika z wyścigu (race condition) pomiędzy momentem weryfikacji zasobu a momentem jego użycia (TOCTOU). Atakujący posiadający lokalne uprawnienia administracyjne w obrębie maszyny wirtualnej może wykorzystać to okno czasowe, aby spowodować zapis poza granicami przeznaczonego bufora pamięci. Skutkuje to możliwością wykonania dowolnego kodu w ramach procesu VMX, który jest uruchamiany bezpośrednio na systemie hosta, a nie wewnątrz izolowanego środowiska VM.

Skutki

Atakujący może wykonać dowolny kod jako proces VMX na hoście fizycznym, co w praktyce oznacza pełne przełamanie izolacji maszyny wirtualnej (VM escape) i potencjalne przejęcie kontroli nad systemem hosta oraz innymi maszynami wirtualnymi.

Mitygacja

Należy natychmiast zastosować patche dostępne u producenta zgodnie z Broadcom Security Advisory 25390 (https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390). Jako środek tymczasowy należy ograniczyć dostęp administracyjny do maszyn wirtualnych wyłącznie do zaufanych użytkowników.

Kogo dotyczy

VMware ESXi, VMware Workstation, VMware Cloud Foundation, VMware Telco Cloud Infrastructure — wersje wskazane w referencjach producenta (Broadcom Security Advisory 25390)

Uwagi

Podatność znajduje się na liście CISA KEV (Known Exploited Vulnerabilities), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Wektor lokalny (AV:L) nie umniejsza powagi zagrożenia — wystarczy, że atakujący posiada uprawnienia administracyjne wewnątrz VM, co jest osiągalne na wiele sposobów.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • VMware Cloud Foundation

    APP
    Vmware
    wszystkie wersje
  • VMware ESXi

    OS
    Vmware
    7.08.0
  • VMware Telco Cloud Infrastructure

    APP
    Vmware
    2.22.52.73.0
  • VMware Telco Cloud Platform

    APP
    Vmware
    2.02.52.73.04.04.0.15.0
  • VMware Workstation

    APP
    Vmware
    17.0 – 17.6.3 (bez)

CISA KEV — szczegółyi

Dostawcai
VMware
Produkti
ESXi and Workstation
Data dodania do KEVi
4 marca 2025
Termin remediation (USA)i
25 marca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

VMware ESXi i Workstation zawierają lukę TOCTOU (time-of-check time-of-use) powodującą warunek wyścigu, który prowadzi do zapisu poza granicami bufora. Pomyślne wykorzystanie tej luki umożliwia osobie atakującej posiadającej lokalne uprawnienia administracyjne na maszynie wirtualnej wykonanie kodu jako proces VMX maszyny wirtualnej uruchomiony na hoście.

tłumaczenie AI
Pokaż oryginał (EN)

VMware ESXi and Workstation contain a time-of-check time-of-use (TOCTOU) race condition vulnerability that leads to an out-of-bounds write. Successful exploitation enables an attacker with local administrative privileges on a virtual machine to execute code as the virtual machine's VMX process running on the host.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 25 marca 2025
Tagi
MemoryRace Condition
CWE
Referencje

Powiązane podatności

CVE-2024-38812CRITICAL9.8⚠ KEVPL ✓ten sam produkt

VMware vCenter Server — heap-overflow w DCERPC umożliwia RCE

CVE-2024-37079CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Heap overflow w VMware vCenter Server via protokół DCERPC — RCE

CVE-2022-22954CRITICAL9.8⚠ KEVten sam produkt

VMware Workspace ONE Access and Identity Manager contain a remote code execution vulnerability due to server-s...

CVE-2021-22005CRITICAL9.8⚠ KEVten sam produkt

The vCenter Server contains an arbitrary file upload vulnerability in the Analytics service. A malicious actor...

CVE-2021-21985CRITICAL9.8⚠ KEVten sam produkt

The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in t...