Laburpen exekutiboa
VMware-eko soluzioetan: ESXi, Workstation eta Fusion, lau ahultasun larri eta handi identifikatu dira. Ahultasun horiek, baliatuta badira, aktore txarrek makina birtualeko administratzaile pribilegioak dituztenak, kodea exekutatu dezakete ostalariaren gainean, segurtasun arrisku handia sortuz. Gainera, ahultasuna identifikatu da, informazioa hedatzea ahalbidetzen duena vSockets-en memoria hasieratu gabeko erabilpenaren ondorioz, prozesuen memoria iragaz daiteke vSockets-ekin komunikatzen diren kasuetan, VMware Tools-en kasuan. Ekintza azkarrenak hartzea eta mehatxu horiek arintzea gomendatzen da, aipatutako sistemak babesteko.
Eragindako baliabideak
- VMware Cloud Foundation (bertsioak N/A 5.x, 4.5.x)
- VMware vSphere Foundation (bertsio ESX 9.0.0.0)
- VMware ESXi (bertsioak N/A 8.0, 7.0)
- VMware Workstation Pro (bertsio N/A 17.x)
- VMware Fusion (bertsio N/A 13.x)
- VMware Tools (bertsioak 13.0.0.0, 13.x.x, 12.x.x, 11.x.x Windows-en; bertsioak N/A 13.x.x, 12.x.x, 11.x.x Linux-en; bertsioak N/A 13.x.x, 12.x.x, 11.x.x macOS-en)
- VMware Telco Cloud Platform (bertsioak N/A 5.x, 4.x, 3.x, 2.x)
- VMware Telco Cloud Infrastructure (bertsioak N/A 3.x, 2.x)
Azterketa teknikoa
- CVE-2025-41238: VMware ESXi, Workstation eta Fusion-ek PVSCSI kontrolatzailean (SCSI Paravirtualizatua) pilatze-overflow ahultasuna daukate, muga gaineko idazketa eragiten duena. Aktore txar batek makina birtual bateko administratzaile pribilegioak dituela, arazo hau baliatu dezake VMX prozesuaren kodea exekutatzeko, makina birtuala ostalariaren gainean exekutatzen dena. ESXi-n, baliatzea VMX aretoan muga egiten da eta ez da baliagarria konfigurazioekin bateragarriak ez diren kasuetan. Workstation eta Fusion-en, hau Workstation edo Fusion instalatu den makina batean kodea exekutatzea eragin dezake.
- CWE-787
- CVSS: 9.3 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Baliatzea: Ez da detektatu
- CVE-2025-41236: VMware ESXi, Workstation eta Fusion-ek VMXNET3 sare adaptatzaile birtualean zenbaki-overflow ahultasuna daukate. Aktore txar batek VMXNET3 sare adaptatzaile birtuala duen makina birtual bateko administratzaile pribilegioak dituela, arazo hau baliatu dezake ostalariaren gainean kodea exekutatzeko. VMXNET3 ez diren sare adaptatzaile birtualek ez dute arazo hau pairatzen.
- CWE-787
- CVSS: 9.3 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Baliatzea: Ez da detektatu
- CVE-2025-41237: VMware ESXi, Workstation eta Fusion-ek VMCI (Makina Birtualaren Komunikazio Interfazea) zenbaki-overflow ahultasuna daukate, muga gaineko idazketa eragiten duena. Aktore txar batek makina birtual bateko administratzaile pribilegioak dituela, arazo hau baliatu dezake VMX prozesuaren kodea exekutatzeko, makina birtuala ostalariaren gainean exekutatzen dena. ESXi-n, baliatzea VMX proba gunean muga egiten da, Workstation eta Fusion-en, hau Workstation edo Fusion instalatu den makina batean kodea exekutatzea eragin dezake.
- CWE-787
- CVSS: 9.3 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Baliatzea: Ez da detektatu
- CVE-2025-41239: VMware ESXi, Workstation, Fusion eta VMware Tools-ek informazioa hedatzea ahalbidetzen duen ahultasuna daukate, vSockets-en memoria hasieratu gabeko erabilpenaren ondorioz. Aktore txar batek makina birtual bateko administratzaile pribilegioak dituela, arazo hau baliatu ahal luke vSockets-ekin komunikatzen diren prozesuen memoria iragazteko.
- CWE-908
- CVSS: 7.1 (handia)
- CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- Baliatzea: Ez da detektatu
Arintzea/Konponbidea
Fabrikak gomendatzen du ahultasun hauek konpontzea emandako erantzun-matrizean zehaztutako adabakiekin. Adabaki horiek produktuaren eta bertsioaren arabera aldatzen dira. Gainera, ohiko galderen FAQ bat sortu da, sor daitezkeen zalantzak argitzeko, hemen eskuragarri: https://brcm.tech/vmsa-2025-0013-qna. Fabrikak azpimarratzen du ez dagoela segurtasun-arazo horien ordezko konponbiderik.