Plus de 41 000 serveurs VMware ESXi exposés sur Internet sont vulnérables à la faille de sécurité CVE-2025-22224, déjà exploitée par les cybercriminels. Voici les dernières informations sur cette menace.

CVE-2025-22224 : une menace pour les serveurs VMware ESXi

A en croire une nouvelle analyse proposée par The Shadowserver Foundation, plus de 41 000 hyperviseurs sous VMware ESXi sont actuellement vulnérables à la faille de sécurité CVE-2025-22224. Ce chiffre évolue jour après jour, au fur et à mesure que les administrateurs font le nécessaires pour protéger leur hôte.

Rappelons tout de même que le risque principal lié à cette vulnérabilité, concerne les machines virtuelles. En effet, cette faille de sécurité zero-day, désormais patchée par VMware, permet ce que l’on appelle un VM Escape. Ainsi, un attaquant qui parvient à compromettre une machine virtuelle peut exécuter du code sur l’hôte ESXi, et ainsi accéder aux autres données.

Vous pouvez lire ces articles pour approfondir le sujet :

• Zero-Day dans VMware ESXi : une VM piratée pour prendre le contrôle de toutes les autres !
• Broadcom a corrigé 3 failles zero-day dans VMware ESXi, Workstation et Fusion !

Au total, Broadcom a corrigé trois vulnérabilités dans VMware ESXi et d’autres produits comme VMware Workstation et VMware Fusion : CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226. Pour le moment, nous ignorons d’où proviennent ces attaques.

Plus de 4 200 serveurs ESXi vulnérables

Les serveurs ESXi vulnérables sont situés aux quatre coins du globe, avec notamment en tête de liste la Chine, la France et les Etats-Unis. En effet, la France compte actuellement plus de 4 200 serveurs VMware ESXi vulnérables, ce qui est plus que les Etats-Unis. Vous pouvez consulter les statistiques sur cette page et sur cette page.

We are scanning & reporting out VMware ESXi CVE-2025-22224 vulnerable instances (“a malicious actor with local admin privileges on a virtual machine may exploit this to execute code as virtual machine’s VMX process running on host”).

Nearly 41.5K found vulnerable on 2025-03-04. pic.twitter.com/N3A78S5ClY

— The Shadowserver Foundation (@Shadowserver) March 5, 2025

Voici d’autres chiffres à prendre en considération :

• Canada : 1 167
• Suisse : 133
• Belgique : 98

Face à cette menace, l’agence américaine CISA a imposé aux agences fédérales et aux organisations d’État de déployer les mises à jour de sécurité avant le 25 mars 2025, sous peine de devoir cesser d’utiliser le produit.

Vous savez ce qu’il vous reste à faire…

Source