Nieuws
image

'16.000 VMware ESXi-servers missen update voor kritiek beveiligingslek'

dinsdag 12 augustus 2025, 09:43 door Redactie, 8 reacties

Ruim 16.000 VMware ESXi-servers, waarvan meer dan 600 in Nederland, missen een beveiligingsupdate voor een kritieke kwetsbaarheid. Dat laat The Shadowserver Foundation op basis van een online scan weten. Patches voor het beveiligingslek (CVE-2025-41236) zijn sinds 15 juli beschikbaar. De kwetsbaarheid maakt het mogelijk voor een aanvaller met adminrechten op een lokale virtual machine (VM) om code op de onderliggende host uit te voeren. De VM moet wel gebruikmaken van een VMXNET3 virtual network adapter. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. CVE-2025-41236 werd op 16 mei door beveiligingsonderzoekers gedemonstreerd tijdens de Pwn2Own-wedstrijd in Berlijn. Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte applicaties.

Details over gedemonstreerde beveiligingslekken worden vervolgens met de betreffende leverancier gedeeld, zodat die updates kan ontwikkelen. VMware kwam zoals gezegd op 15 juli met de patch voor CVE-2025-41236. Een aanvaller die het lek misbruikt en zo toegang tot het host-systeem krijgt zou verdere aanvallen kunnen uitvoeren, bijvoorbeeld tegen andere virtual machines op het systeem.

The Shadowserver Foundation is een stichting die onder andere onderzoek doet naar kwetsbare systemen op internet. Bij de laatste scan werd gekeken naar VMware ESXi-servers die de update voor CVE-2025-41236 missen. Dit leverde bij de eerste scan 17.200 servers op, maar is inmiddels gedaald naar 16.400. Daarvan bevinden zich er 629 in Nederland. De meeste kwetsbare servers werden in Frankrijk, China, de Verenigde Staten en Duitsland geteld. Volgens The Shadowserver Foundation is er sprake van een "slow patch rate". Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan.

Reacties (8)
Reageer met quote
Vandaag, 09:57 door Anoniem
Ligt hier niet de oorzaak dat vele gebruikers van VMware actief aan het kijken zijn naar een andere oplossing nadat Broadcom VMwate heeft gekocht?

Hierdoor wordt VMware als uitgefaseerd gezien wordt de energie in de vervanger gestoken.
Reageer met quote
Vandaag, 10:34 door e.r.
Hoe komen ze bij servers aan 't Internet?

Hoe kan het in godsnaam zijn dat ESXi servers via 't Internet toegankelijk zijn...? Is er niet eens of andere wet die die debieliteit verbied ofzo?
Reageer met quote
Vandaag, 10:40 door Anoniem
Door e.r.: Hoe komen ze bij servers aan 't Internet?

Hoe kan het in godsnaam zijn dat ESXi servers via 't Internet toegankelijk zijn...? Is er niet eens of andere wet die die debieliteit verbied ofzo?

Het is niet de esxi host die direct aan internet hangt, maar de VM-guest.....
Reageer met quote
Vandaag, 10:44 door Anoniem
Door Anoniem:
Hierdoor wordt VMware als uitgefaseerd gezien wordt de energie in de vervanger gestoken.

Als ik security officer was zou ik dat niet accepteren. Als medewerker zou ik het aangeven bij de security officer.
Veiligheid gaat voor.
Reageer met quote
Vandaag, 11:21 door Anoniem
Of er zijn 629 honeypots aanwezig ;-)
Reageer met quote
Vandaag, 11:50 door The-Real-C
Het lijkt erop dat ruim 16.000 beheerders momenteel een heel bijzondere configuratie draaien: “bare metal hypervisor, maar nu ook met gratis gasttoegang voor wie creatief genoeg is om een VMXNET3-kaartje te bespelen.”

Technisch gezien is dit een textbook VM escape: iemand met adminrechten in een virtuele machine kan via het lek de onderliggende host overnemen, en daarmee ook alle andere VMs op dezelfde server. Dat is een beetje alsof de conciërge van één appartement ineens de hele flat kan verkopen.

De “slow patch rate” waar Shadowserver het over heeft is zorgelijk, want hoe langer het raam openstaat, hoe meer nieuwsgierige bezoekers je kunt verwachten. Patches installeren is hier geen luxe, maar een branddeur dichttrekken terwijl de rookmelder al piept.
Reageer met quote
Vandaag, 11:59 door DeZin
Meten is weten, maar weet wat je meet.

Ik kom uit deze informatie er niet met zekerheid uit wat er hier gemeten is. Aantal kwetsbare ESXI hosts? Aantal VM's dat op een kwetsbare ESXI host draait? En een VMXNET3 Adapter heeft?

We kunnen gokken en speculeren, maar het wordt uit de gepubliceerde informatie mij niet duidelijk.
Reageer met quote
Vandaag, 12:05 door Anoniem
Door Anoniem: Ligt hier niet de oorzaak dat vele gebruikers van VMware actief aan het kijken zijn naar een andere oplossing nadat Broadcom VMwate heeft gekocht?

Hierdoor wordt VMware als uitgefaseerd gezien wordt de energie in de vervanger gestoken.

Of worden de security updates alleen verstrekt als je een service/maintenancecontract nieuwe stijl hebt bij Broadcom?
Log in to the Broadcom Support Portal to download this patch.https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u3f-release-notes.html
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure