Cette semaine encore, la communauté de la sécurité a reçu un signal d'alarme : l'Agence américaine de cybersécurité ( CISA confirmé) que les bandes de ransomware ont commencé à exploiter une vulnérabilité de gravité élevée dans VMware ESXi qui avait déjà été utilisé dans des attaques de jour zéro. Ce n'est pas une faute : c'est un mécanisme qui permet à un attaquant, de l'intérieur d'une machine virtuelle avec certains privilèges, de compromettre le cœur de l'hyperviseur et de « sortir » de l'environnement confiné.
En mars 2025, Broadcom (propriétaire de VMware) a publié des patchs pour une série de défaillances connexes - y compris la vulnérabilité de l'écriture arbitraire dans le noyau tracé comme CVE-2025-22225, avec une fuite de mémoire et une erreur de type TECTOU - et déjà il les a qualifiés comme exploités dans la nature. La description technique indique que, si un adversaire atteint des privilèges dans le processus VMX, il peut causer l'écriture arbitraire dans le noyau et ainsi échapper au bac à sable VM, quelque chose qui en pratique transforme une machine virtuelle engagée dans une passerelle vers le reste de l'infrastructure.
Il est important de comprendre pourquoi ces échecs sont particulièrement dangereux. Dans les environnements virtualisés, l'hyperviseur agit comme la couche qui sépare plusieurs machines virtuelles et gère des ressources partagées; une vulnérabilité qui permet de briser cette séparation donne à l'attaquant la possibilité de se déplacer latéralement, d'accéder aux données d'autres VM, ou d'installer des outils permanents au niveau de l'hôte. C'est pourquoi les patchs VMware affectent une large gamme de produits - y compris ESXi, vSphere, Workstation et d'autres - et c'est pourquoi les acteurs malveillants qui parviennent à chaîner des échecs avec des privilèges élevés peuvent obtenir un contrôle environnemental très pertinent.
La confirmation de la CISA que cette vulnérabilité est maintenant utilisée dans les campagnes Ransomware met l'accent sur le risque réel pour les entreprises et les administrations. L'agence a déjà incorporé la vulnérabilité à son catalogue des « vulnérabilités exploitées » et, pour les organismes fédéraux, a établi des échéances et des lignes directrices dans le cadre de la Directive opérationnelle contraignante 22-01. La recommandation officielle est claire : appliquer les mesures d'atténuation indiquées par le fabricant, suivre les directives applicables aux services en nuage ou, si aucune mesure d'atténuation n'est disponible, cesser d'utiliser le produit concerné jusqu'à ce qu'il puisse être sécurisé.
Ce n'est pas la première fois ces derniers mois que la CISA identifie les vulnérabilités des produits VMware comme étant exploitées dans des attaques réelles. L'écosystème de virtualisation est souvent une cible attrayante pour les groupes criminels et les acteurs de l'État car de nombreuses charges critiques et données sensibles sont exécutées sur ces plateformes : compromettre l'hyperspectateur offre un retour opérationnel beaucoup plus important que d'attaquer une seule machine isolée. Cette concentration des risques explique l'attention accordée aux mises à jour de sécurité et aux commandes de stationnement urgentes.
La recherche privée a documenté des campagnes sophistiquées qui profitent de ces faiblesses. Les entreprises de cybersécurité ont publié des analyses qui montrent que des acteurs de langue chinoise enchaînent des échecs similaires dans des attaques ciblées depuis des temps précédents, ce qui suggère que ces vecteurs ont été exploités avec persistance et un certain degré d'automatisation. Pour ceux qui gèrent l'infrastructure, cela doit être interprété comme un avertissement : les vecteurs qui apparaissent aujourd'hui dans les alertes publiques ont souvent été utilisés dans des attaques plus discrètes.
Du point de vue opérationnel, la recommandation concernant les équipements informatiques et de sécurité est sans équivoque: Plot dès que possible et suivre les instructions du fournisseur. De plus, il convient de revoir les paramètres de privilège des machines virtuelles afin de minimiser les comptes et les processus ayant accès au processus VMX, de renforcer la surveillance des activités anormales dans l'hyperspectateur et de s'assurer que les plans de sauvegarde et d'intervention sont mis à jour et testés. Pour les entités assujetties aux directives gouvernementales, la mise en oeuvre des ordonnances de la CISA dans les délais est obligatoire.
Il existe également une composante détection et intervention : surveillance des indicateurs d'engagement associés aux fuites et aux mouvements latéraux des bacs à sable, et collaboration avec les fournisseurs de renseignement et de détection pour identifier les premiers signaux. En ce sens, une analyse indépendante a critiqué le fait que certaines mises à jour de la CISA sur les vulnérabilités exploitées dans les campagnes de Ransomware ont été publiées de façon invisible; des organisations vouées au suivi du bruit et de l'abus d'Internet ont tenté de faire la lumière sur ces changements pour aider les équipes de défense à établir des priorités.
En fin de compte, ce qui est clair, c'est que la combinaison de vulnérabilités dans la couche de virtualisation offre un vecteur trop attrayant pour les attaquants. La recommandation pratique pour les gestionnaires d'infrastructure est simple en termes de priorité: gélose rapide sur les patchs publiés par le fabricant, réduire la surface d'attaque en limitant les privilèges, et renforcer les capacités de détection afin de ne pas dépendre seulement du patch fermer la porte après que quelqu'un est déjà entré.
Si vous voulez consulter des sources officielles et élargir l'information, vous pouvez consulter l'entrée correspondante dans le catalogue de la CISA sur les vulnérabilités exploitées ( CVE-2025-22225 dans le catalogue de la CISA), la note avec les ajouts de mars 2025 ( Avis de la CISA, 4 mars 2025), la page des avis de sécurité VMware où des corrections sont publiées ( Avis de sécurité VMware) et analyse contextuelle des entreprises de sécurité et de détection qui ont suivi ces campagnes ( Chasseur et Bruit gris).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...