0-day-Schwachstellen in VMWare ESXi, Workstation und Fusion

Publiziert am 5. März 2025 von Günter Born

[English]Zum 4. März 2025 hat VMware by Broadcom einen Sicherheitshinweis veröffentlicht, um vor drei Zero-Day-Schwachstellen CVE-2025-22224, CVE-2025-22225 und CVE-2025-22226), die bereits in freier Wildbahn ausgenutzt wurden, zu warnen. Patchen ist dringend angesagt.

Anzeige

VMware Advisory VMSA-2025-0004

Dem Advisory VMSA-2025-0004 zufolge betreffen die Schwachstellen (CVE-2025-22224, CVE-2025-22225 und CVE-2025-22226) VMware ESXi, Workstation und Fusion. Die Schwachstellen werden mit einem CVSS Base Score von 7.1 bis 9.3 als kritisch eingestuft. Betroffen sind:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform

Für jedes betroffene Produkt wurden Patches veröffentlicht. Inzwischen hat mich ein Blog-Leser darauf hingewiesen (danke) und es liegen mir auch Sicherheitswarnungen von Security-Firmen vor. Eine FAQ von Broadcom zu den Schwachstellen gibt es hier.

VMCI heap-overflow vulnerability (CVE-2025-22224)

Die Schwachstelle CVE-2025-22224 in VMware ESXi und Workstation ist ein Time-of-Check Time-of-Use (TOCTOU) Bug, die zu einem Out-of-bounds-Write führt. VMware hat den Schweregrad dieses Problems, mit einer maximalen CVSSv3-Basisbewertung von 9,3, als kritisch eingestuft.

Ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine kann diese Schwachstelle ausnutzen, um Code als VMX-Prozess der virtuellen Maschine auf dem Host auszuführen. Zum Beheben der Schwachstelle CVE-2025-22224 steht ein Patch für die betroffenen Produkte bereit.

Anzeige

VMware ESXi arbitrary write vulnerability (CVE-2025-22225)

Die Schwachstelle CVE-2025-22225 betrifft VMware ESXi, und es handelt sich um einen "arbitrary write"-Bug, bei dem willkürlich in den Speicher geschrieben werden kann. VMware stuft den Schweregrad mit einem maximalen CVSSv3-Basiswert von 8,2 (wichtig) ein.

Ein böswilliger Akteur mit Rechten innerhalb des VMX-Prozesses kann einen willkürlichen Kernel-Schreibvorgang auslösen, der zu einem Ausbruch aus der Sandbox führt. Zum Beseitigen von CVE-2025-22225 steht ein VMware ESXi-Update bereit.

Es sollte zeitnah gepatcht werden, denn VMware by Broadcom liegen Informationen zu einer möglichen Ausnutzung von CVE-2025-22225 in freier Wildbahn vor.

HGFS information-disclosure vulnerability (CVE-2025-22226)

Die Schwachstelle CVE-2025-22226 betrifft VMware ESXi, Workstation und Fusion. Es handelt sich um eine Information Disclosure-Sicherheitslücke, die Informationen aufgrund eines Out-of-Bounds-Read in HGFS offen legt. VMware stuft den Schweregrad als "wichtig" mit einer maximalen CVSSv3-Basisbewertung von 7,1 ein.

Ein böswilliger Akteur mit administrativen Rechten für eine virtuelle Maschine kann dieses Problem möglicherweise ausnutzen, um Speicherinhalte aus dem vmx-Prozess zu leaken. Zum Beheben von CVE-2025-22226 stehen Patches für die betroffenen Produkte bereit.

Hier gibt es die Patches

VMware by Broadcom hat eine Tabelle mit den Versionen der angreifbaren Produkte sowie Links zu Informationen, wo es die verfügbaren Patches gibt, im Advisory VMSA-2025-0004 veröffentlicht. Manche Updates werden durch die Produkte (z.B. VMware Workstation) installiert.

Bei VMware Workstation liefert mir die Update-Funktion aber einen Fehler beim Installieren. Die Kollegen von deskmodder.de haben übrigens in diesem Beitrag die Änderungen aufgelistet.

Workarounds zum Schließen der Schwachstellen sind übrigens keine bekannt. Es empfiehlt sich, die Produkte zeitnah zu aktualisieren.

Anzeige
Dieser Beitrag wurde unter Sicherheit, Update, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu 0-day-Schwachstellen in VMWare ESXi, Workstation und Fusion

  1. StefanP sagt:
    5. März 2025 um 13:00 Uhr

    VMware Workstation Pro 17.5.2 bietet beim Start Version 17.6.3 als Update an.
    Läuft dann aber – wie bereits von Günter angemerkt – während der Installation in einen Fehler.
    "There was a problem updating a software component. Try again later and if the problem persists, contact VMware Support or your system administrator."

    Auf einem anderen Rechner lief das Update von VMware Workstation pro 17.6.1 auf 17.6.3 ohne Probleme durch.

    Antworten
    • Olli sagt:
      5. März 2025 um 13:17 Uhr

      Manuell klappt es fehlerfrei und der Fehler könnte sein, das VMWare Workstation in diesem Moment noch läuft. Frühere Update haben gesagt, dass VMWare Workstation beendet werden muss, das sagt der aktuelle Updater scheinbar nicht mehr. Der Updater läuft halt aber immer dann wenn man VMWare Workstation startet.

      Antworten
  2. Anonym sagt:
    5. März 2025 um 13:35 Uhr

    spitzgrifflige Verständnisfrage: 0-day ist lt. [1] ein Produktdefekt, der dem Hersteller noch unbekannt ist, er also aus Unkenntnis noch keine Chance hatte, bei diesem Defekt nachzubessern (neudeutsch: patchen).
    Im Artikel finde ich aber Hinweise, dass Patches vom Hersteller existieren.

    habe ich hier ein falsches Verständnis von 0-day?

    Grüße

    ####
    [1] https://www.proofpoint.com/de/threat-reference/zero-day-exploit

    Antworten
    • Günter Born sagt:
      5. März 2025 um 14:02 Uhr

      wenn eine Schwachstelle ausgenutzt wurde, bevor es einen Patch gab, war es ein 0-day. Man mag diskutieren, ob es jetzt noch ein 0-day ist, wo der Patch da ist, ich benutze die Nomenklatur aber weiter.

      Antworten
  3. Anonym sagt:
    5. März 2025 um 13:47 Uhr

    Beim Update von VMWare Workstation muss man aufpassen, da hier ein Bruch durch die Übernahme von Broadcom war. Ein Update-Sprung war nicht möglich über den integrierten Updater, sondern es musste frisch über das Install-File installiert werden. Danach waren wieder Updates über den integrierten Updater möglich.

    ESXi 7 und 8 bisher keine Probleme nach Update gehabt…

    Antworten
  4. Jens sagt:
    5. März 2025 um 14:09 Uhr

    Das absolut geniale daran ist, dass man teilweise die Patches nicht herunterladen kann, wenn man eine vSphere/ESXi Lizenz gedowngraded hat.

    Da fehlt dann der Downloadbutton beim Update (https://support.broadcom.com/web/ecx/solutiondetails?patchId=5771) auf der Broadcom Seite (wenn man die Patches ohne vCenter einspielt bzw. einspielen muss).

    Die Probleme haben wohl aktuell einige (habe andere User auf Reddit gesehen) und das Thema wird auch hier beschrieben:
    https://github.com/vmware/vcf-security-and-compliance-guidelines/tree/main/security-advisories/vmsa-2025-0004#i-am-having-trouble-downloading-the-patches-from-the-broadcom-support-portal

    Hier noch die Reddit Infos:
    https://www.reddit.com/r/vmware/comments/1j3gzt8/download_button_missing/
    https://www.reddit.com/r/vmware/comments/1j38qfz/vmsa_2025004_critical_vulnerability_for_vsphere/

    Ich habe ein Ticket an Broadcom geschickt, da wurde mir dann einfach die Patch Datei zur Verfügung gestellt. Das Problem ist anscheinend bekannt und die arbeiten dran.

    Antworten
  6. SoPy sagt:
    5. März 2025 um 17:20 Uhr

    Weil es kein Download Link für das ESX Patch bei Broadcom gab, habe ich nach eine Alternative gesucht. Hier gibt es das ESX Patch: https://vmpatch.com/esxi.html

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.