CVE-2025-22225: quando una VM compromessa può abbattere l’intero hypervisor ESXi

Nel panorama moderno della cybersecurity, la virtualizzazione è il pilastro su cui poggiano data center, ambienti cloud privati e infrastrutture enterprise. VMware ESXi, da anni riferimento di mercato, garantisce isolamento tra macchine virtuali e host.

Tuttavia, quando questo isolamento fallisce, il danno diventa sistemico.

La CVE-2025-22225, recentemente inserita dalla CISA nel catalogo delle vulnerabilità attivamente sfruttate (KEV), rappresenta uno dei casi più critici degli ultimi anni: una sandbox escape che consente a un attaccante di passare da una singola VM compromessa al controllo dell’intero hypervisor ESXi.

Cos’è la CVE-2025-22225

La CVE-2025-22225 è una vulnerabilità di tipo Arbitrary Write che risiede nel processo VMX, componente chiave dell’hypervisor VMware ESXi responsabile dell’esecuzione delle singole macchine virtuali.

Un attaccante che:

• Ha già ottenuto privilegi elevati all’interno di una VM (root / administrator),
• Può sfruttare questa falla per scrivere direttamente in memoria a livello kernel dell’host ESXi.

Questo comporta una fuga dal sandbox della VM (VM Escape) e una escalation di privilegi sull’hypervisor.

CVSS v3.1: 8.2 (High)

Categoria: Sandbox Escape / Privilege Escalation

Stato: Exploited in the wild (CISA KEV)

Perché è una vulnerabilità “game-changer” per i ransomware

Tradizionalmente, un attacco ransomware colpisce:

• Un endpoint
• Un server
• Una singola VM

Con CVE-2025-22225 il paradigma cambia.

Una volta compromesso l’hypervisor, l’attaccante può:

Criptare tutte le VM contemporaneamente

Accedendo direttamente ai file .vmdk, può cifrare lo storage sottostante e bloccare simultaneamente decine o centinaia di macchine virtuali.

Bypassare le difese di sicurezza

EDR, antivirus e controlli di sicurezza operano dentro le VM.

Un attacco a livello hypervisor li rende inermi.

Esfiltrare dati “out-of-band”

L’accesso diretto allo storage consente di leggere i dati senza passare dalla rete, rendendo inefficaci IDS/IPS e sistemi di monitoring tradizionali.

È per questo che i gruppi ransomware stanno spostando il focus dagli endpoint all’infrastruttura di virtualizzazione.

Sfruttamento reale e contesto di minaccia

La CVE-2025-22225 non è teorica:

• Inserita ufficialmente nel catalogo KEV della CISA
• Associata a campagne ransomware attive
• Spesso sfruttata in combinazione con altre vulnerabilità VMware (es. CVE-2025-22224, CVE-2025-22226)

Questi exploit concatenati permettono:

1. Compromissione della VM
2. Escalation locale
3. VM Escape
4. Controllo dell’hypervisor
5. Attacco massivo all’infrastruttura

Prodotti impattati

VMware ESXi (versioni non patchate)

Ambienti con:

• management interface esposta
• credenziali deboli
• assenza di segmentazione di rete
• backup non immutabili

Remediazione ufficiale (Broadcom / VMware)

Broadcom ha rilasciato patch di sicurezza a marzo 2025 tramite advisory VMSA-2025-0006.

Patch immediata obbligatoria

Non esistono workaround efficaci che sostituiscano l’aggiornamento.

Checklist di sicurezza operativa (pronta per il blog)

Patch Management:

• Verificare la versione di ESXi
• Aggiornare a build rilasciate dopo il 12 marzo 2025
• Validare il patching su cluster di test prima del rollout

Hardening ESXi:

• Disabilitare SSH sugli host se non necessario
• Applicare il principio del least privilege
• Abilitare logging centralizzato

Network Segmentation

• Isolare completamente la rete di management
• Non esporre mai ESXi o vCenter su Internet
• Proteggere l’accesso con firewall e MFA

Backup e resilienza

• Implementare backup immutabili
• Testare periodicamente il ripristino
• Separare i backup dall’infrastruttura primaria

Considerazioni finali

La CVE-2025-22225 segna un punto di svolta:

la virtualizzazione non può più essere considerata un confine di sicurezza affidabile di default.

In un contesto dove:

• Gli exploit 0-day vengono integrati rapidamente nei toolkit ransomware
• Gli hypervisor diventano target primari,

La sicurezza deve spostarsi da un approccio reattivo a uno proattivo e infrastrutturale.

Patchare in ritardo, oggi, significa consegnare l’intero data center all’attaccante

Link Utili e Risorse Ufficiali

Advisory Ufficiale VMware/Broadcom (VMSA-2025-0006): https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24000

NIST: https://nvd.nist.gov/vuln/detail/CVE-2025-22225

CSIRT: https://www.acn.gov.it/portale/w/risolte-vulnerabilita-in-prodotti-vmware-1