Datenschutz & Sicherheit
VMware ESXi, Fusion, Workstation: Admins patchen kritische Lücke nicht
Vor etwa vier Wochen hat Broadcom ein Update zum Schließen einer Sicherheitslücke in VMware ESXi, Fusion und Workstation veröffentlicht, die als kritisch gilt. Sie ermöglicht den Ausbruch aus der virtuellen Maschine und Ausführung von Schadcode auf dem Host-System. IT-Verantwortliche verteilen das Update offenbar jedoch nur sehr zögerlich.
Zig Tausende VMware-Systeme sind im Netz erreichbar und weisen die kritische Sicherheitslücke auf.
(Bild: Shadowserver Foundation)
Konkret lautet die Fehlerbeschreibung: In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko „kritisch„). Die Schwachstelle wurde auf dem Pwn2Own-Wettbewerb der Zero Day Initiative (ZDI) von Trend Micro vom IT-Sicherheitsforscher Nguyen Hoang Thach vorgeführt.
Admins zeigen sich gleichgültig
Trotz dieses Schweregrads bleiben viele Admins untätig. Die Shadowserver Foundation beobachtet verwundbare Systeme über den Zeitraum und kommt zu einem erschreckenden Ergebnis: Waren am 19.07.2025 noch 17.238 im Internet erreichbare Systeme von der Schwachstelle CVE-2025-41236 betroffen, waren es am 11.08.2025 immer noch 16.439 – davon stehen 6301 Server in Europa. Am 31.07.2025 gab es einen Einbruch auf 12.544 Systeme, stieg dann jedoch wieder auf das hohe Level an. Die Ursache für den kurzen „Absacker“ ist derzeit unbekannt.
Broadcom stellt Links auf die aktualisierte Software in der Sicherheitsmitteilung aus dem Juli bereit. Betroffen sind VMware ESXi 8.0 und 7.0, VMware Workstation 17.x und 13.x, VMware Cloud Foundation 5.x und 4.x sowie VMware Telco Cloud Platform 5.x, 4.x, 3.x und 2.x.
Administratorinnen und Administratoren sollten die Aktualisierungen so rasch wie möglich anwenden. Schwachstellen in VMware-Hypervisoren dienen Kriminellen oft als Einfallstor. So etwa auch im März dieses Jahres. Dort waren IT-Verantwortliche ebenfalls langsam beim Patchen, sodass Angreifer die Schwachstelle CVE-2025-22224 ausnutzen konnten.
(dmk)