CHANGE LOG: [05 Maret 2024] ESXi 6.7 juga kena, patch fix-nya udah ada.
Latar Belakang
Tanggal 4 Maret, Broadcom ngeluarin pengumuman (VMSA-2025-0004) soal tiga celah keamanan zero-day yang nyerang banyak produk VMware:
| CVE | Deskripsi | CVSSv3 |
|---|---|---|
| CVE-2025-22224 | Celah Heap-Overflow di VMware ESXi dan Workstation | 9.3 |
| CVE-2025-22225 | Celah Arbitrary Write di VMware ESXi | 8.2 |
| CVE-2025-22226 | Celah Information Disclosure di VMware ESXi, Workstation, dan Fusion | 7.1 |
Selain pengumuman itu, Broadcom juga nge-publish dokumen FAQ (Frequently Asked Questions) buat celah keamanan ini: VMSA-2025-0004: Pertanyaan & Jawaban.
Analisis
CVE-2025-22224 itu celah TOCTOU (Time-of-Check Time-of-Use) di VMware ESXi sama Workstation. Penyerang lokal yang udah diautentikasi dan punya hak admin bisa ngeksploitasi celah ini buat jalanin kode di proses virtual-machine executable (VMX).
CVE-2025-22225 itu celah arbitrary write di VMware ESXi. Penyerang lokal yang udah diautentikasi dan punya hak yang dibutuhin bisa ngeksploitasi celah ini lewat proses VMX buat kabur dari sandbox.
CVE-2025-22226 itu celah information-disclosure di VMware ESXi, Workstation, dan Fusion. Penyerang lokal yang udah diautentikasi dan punya hak admin bisa ngeksploitasi celah ini buat bikin proses VMX ngebocorin isi memori.
Udah Dipake Sebagai Zero-Day
Kata Broadcom sih, celah keamanan ini ditemuin dan diungkapin sama peneliti di Microsoft Threat Intelligence Center (MSTIC) dan udah keliatan dipake buat ngeksploitasi di alam liar. Tapi, ga ada detail spesifik soal eksploitasi di alam liar yang dikasih tau.
Proof of Concept
Pas postingan blog ini ditulis, belom ada proof-of-concept (PoC) yang tersedia buat salah satu pun dari tiga celah keamanan ini.
Solusi
VMware udah ngerilis versi fix buat produk VMware yang kena:
| Produk yang Kena | CVE | Versi Fix |
|---|---|---|
| VMware ESXi 8.0 | CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 | ESXi80U3d-24585383, ESXi80U2d-24585300 |
| VMware ESXi 7.0 | CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 | ESXi70U3s-24585291 |
| VMware ESXi 6.7 | CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 | ESXi670-202503001 |
| VMware Workstation 17.x | CVE-2025-22224, CVE-2025-22226 | 17.6.3 |
| VMware Fusion 13.x | CVE-2025-22226 | 13.6.3 |
Selain itu, VMware Cloud Foundation sama VMware Telco Cloud Platform dan Telco Cloud Infrastructure juga kena. Patch asynchronous udah tersedia buat VMware Cloud Foundation, sementara pelanggan Telco Cloud Platform disaranin update ke versi ESXi yang udah di-fix. Info lebih lengkapnya, cek aja pengumuman dari Broadcom.
Makasih buat Tom Sellers yang udah ngasih tau kalo VMware ESXi 6.7 juga kena dan versi fix-nya udah ada.
Hi, this is a comment.
I love myself.