Sicherheitsforscher warnen, dass trotz laufender Angriffe weltweit noch mehr als 40.000 Instanzen nicht gepatcht sind. Davon ist auch Deutschland betroffen.
Admins von VMware-ESXi-Servern sollten dringend sicherstellen, dass sie eine aktuelle, gegen derzeit laufende Attacken abgesicherte Version installiert haben. Dabei setzten Angreifer an einer “kritischen” Sicherheitslücke an, um Systeme mit Schadcode zu kompromittieren.
Verwundbare Server auch in Deutschland
Die Schwachstelle (CVE-2025-22224) und deren Ausnutzung sind seit einigen Tagen bekannt. Seitdem sind auch Sicherheitspatches verfügbar. Wie Sicherheitsforscher von Shadowserver nun in Scans zeigen, haben weltweit aber viele Admins offensichtlich bis jetzt nicht reagiert und die Installation der Updates steht noch aus. Zum Zeitpunkt dieser Meldung sind weltweit noch mehr als 41.000 Instanzen verwundbar. Davon sind knapp 2800 Server in Deutschland.
Verfügen Angreifer in einer virtuellen Maschine über Admin-Rechte, können sie aus der VM ausbrechen, um Schadcode im VMX-Prozess des Hostsystems auszuführen. Derzeit gibt es keine Informationen, wer hinter den Attacken steckt und welche Ziele betroffen sind.
Jetzt patchen!
In einer Warnmeldung geben die Entwickler von Broadcom an, dass die ESXi-Versionen ESXi70U3s-24585291, ESXi80U2d-24585300 und ESXi80U3d-24585383 gegen die Angriffe gerüstet sind. Darin wurden zudem zwei weitere Lücken geschlossen (CVE-2025-22225 “hoch“, CVE-2025-222226 “hoch“).
Von der kritischen Schwachstelle sind auch Cloud Foundation, Fusion, Telco Cloud Infrastructure, Telco Cloud Platform und Workstation betroffen. Informationen zu den Sicherheitspatches für diese Anwendungen sind in der Warnmeldung aufgelistet.
In einer FAQ finden Admins weitere Informationen zu den laufenden Attacken.