Source : BleepingComputer — 29 janvier 2026
Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape
Gravité : Élevée (activement exploitée)

Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day.

  • 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille.
  • 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi.
  • ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels.

📌 Ce qu’il faut retenir

La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day.

🔧 Nature de la vulnérabilité

  • Type : écriture arbitraire dans le noyau menant à une évasion du sandbox VM.
  • Condition d’exploitation : l’attaquant doit disposer de privilèges dans le processus VMX (au sein de la VM).
  • Impact : permet de sortir de la machine virtuelle et d’agir au niveau de l’hyperviseur.

📅 Chronologie clé

  • Mars 2025 : Broadcom corrige la faille (avec deux autres : CVE-2025-22224 et CVE-2025-22226).
  • Mars 2025 : CISA ajoute CVE-2025-22225 à son catalogue KEV (Known Exploited Vulnerabilities) et impose un patch pour les agences fédérales avant le 25 mars 2025 (BOD 22-01).
  • Janvier 2026 : CISA confirme l’usage en campagnes ransomware (sans détailler les groupes).

🔎 Contexte d’attaques

  • Selon Huntress, des acteurs chinois auraient chaîné ces failles depuis février 2024 dans des attaques sophistiquées.
  • VMware reste une cible privilégiée car :
    • Très répandu en entreprise
    • Héberge souvent des données critiques
    • Un compromis ESXi offre un accès transversal à de nombreuses VMs

🔔 Autres vulnérabilités VMware récemment ciblées

  • CVE-2025-41244 — VMware Aria Operations / VMware Tools (exploité depuis oct. 2024).
  • CVE-2024-37079 — vCenter Server (marqué exploité en janvier 2026, patch exigé avant le 13 février).

🧠 TTPs probables (mapping MITRE ATT&CK)

Phase Technique (exemples)
Accès initial T1190 — Exploit Public-Facing Application
Exécution T1059 — Command and Scripting Interpreter
Privilèges T1068 — Exploitation for Privilege Escalation
Évasion T1611 — Escape to Host (VM breakout)
Persistance T1547 — Boot or Logon Autostart Execution
Mouvement latéral T1021 — Remote Services
Impact T1486 — Data Encrypted for Impact (ransomware)

🔍 Indicateurs & signaux faibles (à surveiller)

Sur VMware / ESXi

  • Tentatives d’accès anormales au processus VMX
  • Crashs ou logs inhabituels liés au noyau ESXi
  • Processus inconnus exécutés depuis une VM avec privilèges élevés
  • Activité suspecte post-exploitation sur l’hyperviseur

Réseau / comportement

  • Trafic de commande & contrôle (C2) depuis l’hyperviseur
  • Exfiltration de données à partir de plusieurs VMs en parallèle
  • Déploiement rapide de charges ransomware après compromission ESXi

🛡️ Recommandations (CISA & bonnes pratiques)

  1. Appliquer immédiatement les correctifs Broadcom pour CVE-2025-22225.
  2. Suivre les directives BOD 22-01 (agences fédérales).
  3. Si patch impossible : isoler ou retirer le système du réseau.
  4. Restreindre l’accès admin/root aux hyperviseurs ESXi.
  5. Activer journalisation renforcée et surveillance comportementale sur ESXi.
  6. Segmenter le réseau d’administration VMware.
  7. Vérifier l’intégrité des backups (hors ligne / immuables).

🏁 Conclusion

CVE-2025-22225 n’est plus seulement une faille théorique ou un zero-day historique :
👉 elle est désormais activement utilisée dans des campagnes ransomware.

Toute infrastructure VMware non patchée représente un risque critique immédiat.

Il s’agit d’une alerte de sécurité relayée par la presse spécialisée visant à informer sur l’exploitation active d’une vulnérabilité majeure.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/