Broadcom, Microsoft Tehdit İstihbarat Merkezi tarafından rapor edilen ve aktif olarak istismar edildiği belirtilen üç VMware zero-day konusunda müşterilerini uyardı.
CVE-2025-22224, CVE-2025-22225 ve CVE-2025-22226 kodlarıyla tanımlanan bu güvenlik açıkları, VMware ESX ürünleri de dahil olmak üzere VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation ve Telco Cloud Platform’u etkiliyor.
Broadcom’un açıklamasına göre, bu açıkları zincirleme kullanabilen siber saldırganlar, sanal makinenin sandbox ortamından çıkıp hipervizör seviyesine erişim sağlayabiliyor.
Kritik Düzeyde Tehdit
Broadcom, CVE-2025-22224’ü kritik düzeyde bir VCMI heap overflow (bellek taşma) açığı olarak tanımlıyor. Bu açık, hedeflenen sanal makinede yönetici yetkisine sahip siber saldırganların, ana sunucu üzerinde çalışan VMX işlemine kod yürütmesine olanak tanıyor.
CVE-2025-22225, RCE zafiyeti olarak tanımlanıyor ve kernel seviyesinde RCE yaparak sandbox’dan kaçmasına neden olabiliyor. CVE-2025-22226 ise HGFS bilgi sızıntısı açığı olup, siber saldırganların VMX işleminden bellek bilgilerini sızındırmasına imkan tanıyor.
Siber Suç Gruplarının Hedefinde
VMware ürünleri, kurumsal sistemlerde hassas verilerin saklanması ve transferi için yaygın olarak kullanıldığından, özellikle fidye yazılım grupları ve devlet destekli hackerlar tarafından hedef alınıyor.
Broadcom, en son Kasım ayında VMware vCenter Server’da aktif olarak istismar edilen iki güvenlik açığı konusunda uyarıda bulunmuştu. Bunlardan biri CVE-2024-38813 kodlu yetki yükseltme açığı, diğeri ise kritik seviyede uzaktan kod çalıştırma açığı olan CVE-2024-38812 idi.
Güvenlik uzmanları, VMware kullanan ortamların en kısa sürede sistemlerini güncelleyerek bu kritik açıkların istismar edilmesini önlemeleri konusunda uyarıyor.