Broadcom heeft vandaag beveiligingsupdates uitgebracht om een ernstige authenticatie-bypass-kwetsbaarheid in VMware Tools voor Windows te verhelpen.

VMware Tools is een pakket van stuurprogramma’s en hulpprogramma’s die zijn ontworpen om de prestaties, grafische weergave en algehele systeemintegratie voor gastbesturingssystemen in VMware-virtuele machines te verbeteren.

De kwetsbaarheid (CVE-2025-22230) wordt veroorzaakt door een zwakte in de toegangscontrole en werd gerapporteerd door Sergey Bliznyuk van Positive Technologies (een gesanctioneerd Russisch cybersecuritybedrijf dat beschuldigd wordt van handel in hackingtools).

Lokale aanvallers met lage privileges kunnen het misbruiken in aanvallen met lage complexiteit die geen gebruikersinteractie vereisen om hoge privileges te verkrijgen op kwetsbare VM’s.

“Een kwaadwillende actor met niet-administratieve privileges op een Windows gast-VM kan in staat zijn om bepaalde hoog-privilege-handelingen binnen die VM uit te voeren,” legt VMware uit in een beveiligingsadvies dat dinsdag is gepubliceerd.

Eerder deze maand heeft Broadcom ook drie VMware zero-days (CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226) gepatcht, die werden aangemerkt als gebruikt in aanvallen en gerapporteerd door het Microsoft Threat Intelligence Center.

Zoals het bedrijf destijds uitlegde, kunnen aanvallers met geprivilegieerde beheerder- of roottoegang deze kwetsbaarheden schakelen om aan de sandbox van de virtuele machine te ontsnappen.

Dagen na het uitbrengen van de patches ontdekte het dreigingsmonitoringplatform Shadowserver meer dan 37.000 via internet blootgestelde VMware ESXi-instanties die kwetsbaar waren voor CVE-2025-22224-aanvallen.

Ransomware-bendes en door de staat gesponsorde hackers richten zich vaak op VMware-kwetsbaarheden, aangezien VMware-producten veel worden gebruikt in bedrijfsvoering om gevoelige bedrijfsgegevens op te slaan of over te dragen.

In november waarschuwde Broadcom bijvoorbeeld dat aanvallers twee VMware vCenter Server-kwetsbaarheden uitbuitten: een privilege-escalatie naar root (CVE-2024-38813) en een kritieke kwetsbaarheid voor uitvoering op afstand van code (CVE-2024-38812) die tijdens de Matrix Cup-hackingwedstrijd in China in 2024 zijn geïdentificeerd.

In januari 2024 maakte Broadcom ook bekend dat Chinese staatshackers sinds eind 2021 gebruikmaakten van een kritieke vCenter Server zero-day kwetsbaarheid (CVE-2023-34048) om VirtualPita- en VirtualPie-backdoors te implementeren op getroffen ESXi-systemen.