Himauan kerentanan pada (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) VMSA-2025-0004: VMware ESXi, Workstation, dan Fusion updates address multiple vulnerabilities

Broadcom telah merilis pembaruan keamanan untuk mengatasi tiga celah keamanan yang sedang aktif dieksploitasi di produk VMware ESXi, Workstation, dan Fusion, yang dapat menyebabkan eksekusi kode dan pengungkapan informasi.

Daftar kerentanan tersebut adalah sebagai berikut:

• CVE-2025-22224 (Skor CVSS: 9.3) – Kerentanan Time-of-Check Time-of-Use (TOCTOU) yang menyebabkan penulisan di luar batas (out-of-bounds write), yang dapat dieksploitasi oleh aktor jahat dengan hak administratif lokal pada mesin virtual untuk menjalankan kode sebagai proses VMX mesin virtual yang berjalan di host.
• CVE-2025-22225 (Skor CVSS: 8.2) – Kerentanan penulisan sembarang (arbitrary write) yang dapat dieksploitasi oleh aktor jahat dengan hak istimewa dalam proses VMX untuk menghasilkan pelarian sandbox (sandbox escape).
• CVE-2025-22226 (Skor CVSS: 7.1) – Kerentanan pengungkapan informasi karena pembacaan di luar batas (out-of-bounds read) di HGFS yang dapat dieksploitasi oleh aktor jahat dengan hak administratif ke mesin virtual untuk membocorkan memori dari proses vmx.

Kekurangan tersebut berdampak pada versi-versi berikut:

• VMware ESXi 8.0 – Fixed in ESXi80U3d-24585383, ESXi80U2d-24585300
• VMware ESXi 7.0 – Fixed in ESXi70U3s-24585291
• VMware Workstation 17.x – Fixed in 17.6.3
• VMware Fusion 13.x – Fixed in 13.6.3
• VMware Cloud Foundation 5.x – Async patch to ESXi80U3d-24585383
• VMware Cloud Foundation 4.x – Async patch to ESXi70U3s-24585291
• VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x – Fixed in ESXi 7.0U3s, ESXi 8.0U2d, and ESXi 8.0U3d
• VMware Telco Cloud Infrastructure 3.x, 2.x – Fixed in ESXi 7.0U3s

Dalam FAQ terpisah, Broadcom mengakui bahwa

Eksploitasi Aktif:

• Broadcom telah mengakui bahwa ada “informasi yang menunjukkan bahwa eksploitasi masalah ini telah terjadi ‘wild life’,” namun mereka tidak memberikan rincian lebih lanjut mengenai sifat serangan atau identitas pelaku ancaman.
• Hal ini mengindikasikan bahwa kerentanan tersebut sedang aktif dieksploitasi.

Penemuan dan Pelaporan:

• Penyedia layanan virtualisasi tersebut memberikan penghargaan kepada Microsoft Threat Intelligence Center atas penemuan dan pelaporan bug tersebut.

Rekomendasi Patch:

• Mengingat eksploitasi aktif, sangat penting bagi pengguna untuk menerapkan patch terbaru untuk perlindungan optimal.

Tindakan CISA:

• Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan ketiga kerentanan zero-day tersebut ke katalog Kerentanan yang Diketahui Dieksploitasi (KEV), yang mengharuskan lembaga sipil federal untuk menambalnya paling lambat 25 Maret 2025.

Penjelasan Dampak:

• VMware menambahkan, “Ini adalah situasi di mana penyerang yang telah membobol OS tamu mesin virtual dan memperoleh akses istimewa (administrator atau root) dapat berpindah ke hypervisor itu sendiri.”
• Hal ini berarti bahwa jika penyerang sudah mendapatkan akses kedalam mesin virtual, mereka dapat menggunakan celah ini untuk keluar dari mesin virtual tersebut dan menyerang sistem komputer utama yang menjalankan mesin virtual tersebut.

sumber : https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/security-advisories/vmsa-2025-0004

https://thehackernews.com/2025/03/vmware-security-flaws-exploited-in.html