Broadcom’daki siber güvenlik ekibi, Mart ayında Berlin’deki PWN2own Hacking yarışması sırasında VMware hipervizörüne üç başarılı saldırı olduğunu kabul etti.
16 Mart’ta Star Labs’tan bir güvenlik araştırmacısı olan Nguyen Hoang Thach, VMware ESXI’yi başarıyla kullandı. Praveen Singh ve Monty Ijzerman, Broadcom’un VMware Cloud Foundation Bölümü’ndeki ürün güvenliği ve olay müdahale ekibinden, şirketin web sitesinde “Bu VMware ESXI PWN2OWN Hacking etkinliğinde ilk kez kullanıldı” diye yazdı.
Siber Güvenlik Yönetim Kurulu CEO’su Bob Carver’ın LinkedIn Post’a göre bu daha önce ulaşılmamış bir şey.
Hacker’ın tek bir tamsayı taşma istismarını konuşlandırabildiğini, “Bu, 2007 yılına kadar ilk kez hipervizörün başarıyla sömürüldüğünü ilk kez idi” diye yazdı.
Singh ve Ijzerman, 17 Mart’ta Ters Taktiklerin Baş Teknoloji Sorumlusu Corentin Bayet’in iki güvenlik açıkına zincirleyerek ESXI’yi başarılı bir şekilde kullandığını belirtti. Singh ve Ijzerman’a göre, istismarda kullanılan güvenlik açıklarından biri zaten biliniyordu.
Üçüncü başarılı saldırı, 17 Mart’ta da, VMware iş istasyonundan başarılı bir şekilde yararlanmayı başaran Synacktiv’in güvenlik uzmanları Thomas Bouzerar ve Etienne Helluy-Lafont tarafından yönetildi.
Singh ve Ijzerman, Broadcom’daki ekibin aktif olarak iyileştirme üzerinde çalıştığını söyledi. “Etkilenen ürünler için güncellemeler hakkında bilgi vermek için bir VMware güvenlik danışmanlığı yayınlamayı planlıyoruz” dedi.
Broadcom şimdiye kadar sıfır gün istismarları için yamalar sağlamayı taahhüt etse de, müşterileri VMware Cloud Foundation abonelik paketlerine taşıma stratejisi, özellikle destek sözleşmeleri yenilenmeye hazırsa, bazı VMware kullanıcılarını güvenliklerinde boşluklarla bırakabilir.
Computer Weekly’nin bu ayın başlarında bildirdiği gibi, Broadcom müşterilere artık sürekli lisans bazında satın alınan VMware ürünleri için destek sözleşmelerini yenilemeyeceğini ve bu desteğin yalnızca VMware aboneliğine taşınanlar için devam edeceğini bilgilendirdi.
12 Mayıs’ta Broadcom, ARIA araç setini etkileyen CVE-2025-22249 olan kritik bir güvenlik danışmanlığı yayınladı. Belçika Siber Güvenlik Merkezi, güvenlik açığı kullanıcı etkileşimi gerektirdiği göz önüne alındığında, bir VMware yöneticisi kötü amaçlı bir URL bağlantısına tıklanırsa bir kimlik avı saldırısı yoluyla kullanılabileceğini söyledi.
“Kullanıcı VMware ARIA otomasyon hesabına giriş yapılırsa, tehdit oyuncusu hesaplarını tam olarak kontrol edebilir ve kullanıcının gerçekleştirme haklarına sahip olduğu her türlü eylemi gerçekleştirebilir. Güvenlik açığının etkilenen sistemlerin bütünlüğüne göre ciddi bir etkisi ve düşük etkisi vardır.
Broadcom, VMware ARIA Automation 8.18.x ve VMware Cloud Foundation’ın 5.x ve 4.x sürümleri için yamalar yayınladı, ancak herhangi bir geçici çözüm sağlamadı, bu da aracın eski bir sürümünü çalıştıran kullanıcıların risk altında kaldığı anlamına geliyor.
Birçok VMware müşterinin Broadcom’dan sürekli VMware lisansları ile ilgili olarak, yükledikleri yamaların ve hata düzeltmelerinin kaldırılmasını talep eden bir dizi rapor vardır.
VMware hipervizörünün başarılı istismarlarının ayrıntıları henüz yayınlanmamış olsa da, yamalar henüz mevcut değildir ve bunların ne kadar yaygın olarak dağıtılacağı konusunda sorular devam etmektedir.