37.000’den fazla internete maruz kalan VMware ESXI örneği, vahşi doğada aktif olarak sömürülen kritik bir sınırlı yazma kusuru olan CVE-2025-22224’e karşı savunmasızdır.
Bu büyük pozlama, dün yaklaşık 41.500 figür bildiren tehdit izleme platformu The Shadowserver Foundation tarafından bildirilmektedir.
Bugün, Shadowserver şimdi 37.000’in hala savunmasız olduğunu ve dün 4.500 cihazın yamalı olduğunu gösteriyor.
CVE-2025-22224, VM misafirinde idari ayrıcalıklara sahip yerel saldırganların Sandbox’tan kaçmasını ve ana bilgisayardaki kodları VMX işlemi olarak yürütmesini sağlayan kritik bir VCMI yığın taşma güvenlik açığıdır.
Broadcom, müşterileri 4 Mart 2025 Salı günü CVE-2025-22225 ve CVE-2025-22226 adlı diğer iki kusurla birlikte uyardı ve üçünün de sıfır gün olarak saldırılarda sömürüldüğünü bildirdi.
Kusurlar, açıklanmayan bir süre için sömürülmelerini sıfır gün olarak gözlemleyen Microsoft Tehdit İstihbarat Merkezi tarafından keşfedildi. Ayrıca, saldırıların kaynağı ve hedefler hakkında henüz bir bilgi paylaşılmamıştır.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 25 Mart 2025’e kadar mevcut güncellemeleri ve hafifletmeleri uygulamaya veya ürünü kullanmayı bırakması için federal ajanslara ve eyalet kuruluşlarına verdi.
Shadowserver Vakfı, savunmasız örneklerin çoğunun Çin’de (4.400), ardından Fransa (4.100), ABD (3.800), Almanya (2.800), İran (2.800) ve Brezilya (2.200) olduğunu bildirmektedir.
Bununla birlikte, sanal makine yönetimi için kurumsal BT ortamlarında sanallaştırma için kullanılan popüler bir hipervizör olan VMware ESXI’nin yaygın kullanımı nedeniyle, etki küreseldir.
CVE-2025-22224’ü düzelten ESXI sürümleri hakkında daha fazla bilgi için, kullanıcıların Broadcom’un bültenini kontrol etmeleri önerilir. Şu anda, bu sorun için geçici çözüm yok.
Satıcı ayrıca, kullanıcıların ek eylem önerilerini ve etki ayrıntılarını paylaşmaları için bir SSS sayfası yayınladı.