Allarme sicurezza: vulnerabilità critiche nei prodotti VMware espongono migliaia di reti aziendali
Tre vulnerabilità critiche nei prodotti VMware permettono attacchi "hyperjacking": hacker possono accedere a tutti i sistemi virtualizzati di più clienti.
VMware ha lanciato un grave allarme relativamente a tre vulnerabilità critiche presenti in numerosi prodotti di virtualizzazione che potrebbero consentire agli hacker di ottenere un accesso eccezionalmente ampio ad alcuni degli ambienti più sensibili all’interno delle reti di molteplici clienti. L’avviso, diffuso martedì, è stato accompagnato da preoccupazioni espresse da ricercatori di sicurezza esterni.
Il pericolo dell’hyperjacking e le vulnerabilità identificate
Questa tipologia di attacco, resa possibile dallo sfruttamento delle vulnerabilità, è conosciuta con diversi nomi: hyperjacking, attacco all’hypervisor o “fuga dalla macchina virtuale” (VM escape). Le macchine virtuali operano tipicamente all’interno di ambienti di hosting progettati per impedire a un cliente di accedere o controllare le risorse di altri clienti. Violando l’ambiente VM isolato di un cliente, un malintenzionato potrebbe assumere il controllo dell’hypervisor che gestisce ciascuna VM. Da quella posizione privilegiata, l’attaccante potrebbe accedere alle VM di più clienti, che spesso utilizzano questi ambienti attentamente controllati per ospitare le proprie reti interne.
“Se riesci a evadere verso l’hypervisor puoi accedere a ogni sistema”, ha dichiarato il ricercatore di sicurezza Kevin Beaumont su Mastodon. “Se riesci a evadere verso l’hypervisor, ogni protezione viene meno poiché viene infranto un confine”. Ha aggiunto inoltre: “Con questa vulnerabilità saresti in grado di attraversare i provider di hosting gestiti da VMware, i cloud privati che le organizzazioni hanno costruito internamente, ecc.”
VMware ha avvertito che esistono già prove che suggeriscono come le vulnerabilità siano già sotto attivo sfruttamento “in the wild”, senza tuttavia fornire ulteriori dettagli. Beaumont ha specificato che le vulnerabilità colpiscono “ogni versione supportata (e non supportata)” nelle linee di prodotti VMware ESXi, Workstation, Fusion, Cloud Foundation e Telco Cloud Platform.
Le vulnerabilità identificate sono:
- CVE-2025-22224, un overflow di heap nell’interfaccia di comunicazione della macchina virtuale, con un livello di gravità di 9,3 su 10
- CVE-2025-22225, una vulnerabilità di scrittura arbitraria, con una gravità di 8,2
- CVE-2025-22226, una vulnerabilità di divulgazione di informazioni nel file system host-guest, con una gravità di 7,1
Necessario intervento immediato
Sebbene l’avviso di VMware non classifichi queste vulnerabilità come sfruttabili da remoto (circostanza che avrebbe ulteriormente innalzato i già elevati livelli di gravità), Beaumont e altri esperti hanno sottolineato come questa distinzione possa essere fuorviante: “Non è necessario essere fisicamente su una VM per eseguire l’attacco, è possibile farlo attraverso internet se si ha accesso a qualsiasi VM”. In altre parole, se un cliente con una VM all’interno di un ambiente di hosting vulnerabile viene compromesso, un attaccante potrebbe potenzialmente assumere il controllo dell’hypervisor dell’ambiente host.
Tutte e tre le vulnerabilità sono state segnalate a Broadcom dal Microsoft Threat Intelligence Center. L’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha già aggiunto tutte e tre le vulnerabilità al suo elenco di “Vulnerabilità sfruttate note”.
Lo sfruttamento di vulnerabilità nel software di macchine virtuali è stato uno dei modi più comuni con cui attori malintenzionati, che lavorano sia per stati nazionali che per organizzazioni criminali, hanno ottenuto accesso ad alcune delle reti più sensibili al mondo. Qualsiasi organizzazione che utilizza uno dei prodotti interessati dovrebbe indagare a fondo e garantire che le proprie reti siano al sicuro da questa minaccia.
