48 3052-8500

CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239: vulnerabilidades graves afetam principais plataformas de virtualização Broadcom/VMware - OSTEC | Segurança digital de resultados

CVE 3min de Leitura - 13 de agosto de 2025

CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239: vulnerabilidades graves afetam principais plataformas de virtualização Broadcom/VMware

CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239

This post is also available in: Português

No dia 15 de julho de 2025, a Broadcom/VMware divulgou o boletim VMSA-2025-0013 detalhando quatro vulnerabilidades graves que afetam suas principais plataformas de virtualização: CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239. As três primeiras têm pontuação CVSS 9.3, consideradas críticas, e a última possui pontuação CVSS 7.1, classificada como importante.

Essas falhas afetam diferentes componentes do VMware ESXi, Workstation, Fusion e VMware Tools, permitindo desde execução de código a partir de uma máquina virtual até exposição de informações sensíveis da memória.

Entendendo as vulnerabilidades em profundidade

Essas quatro falhas exploram erros de manipulação de memória em drivers e interfaces de comunicação entre o host e a máquina virtual.

  • A CVE-2025-41236 é causada por um integer overflow no adaptador de rede virtual VMXNET3. Em ambientes onde esse adaptador está habilitado, um administrador local dentro da VM pode acionar uma escrita fora dos limites da memória, comprometendo o host.
  • A CVE-2025-41237 envolve um integer underflow no Virtual Machine Communication Interface (VMCI), responsável por permitir a comunicação entre VMs e o host. A falha possibilita a execução de código com privilégios de processo VMX, novamente a partir de um usuário com privilégios administrativos dentro da VM.
  • A CVE-2025-41238 é um heap overflow no controlador PVSCSI. No ESXi, essa vulnerabilidade exige configurações não suportadas para ser explorada e sua execução é contida no sandbox do processo VMX, mas em Workstation e Fusion o impacto é maior, com potencial comprometimento da máquina hospedeira.
  • Já a CVE-2025-41239 está relacionada ao uso de memória não inicializada no componente vSockets. Diferente das anteriores, não permite execução de código, mas pode expor conteúdo sensível da memória de processos que se comunicam por esse canal, afetando também o VMware Tools para Windows.

Produtos impactados

O VMware ESXi é um hipervisor bare-metal amplamente utilizado em datacenters para hospedar múltiplas máquinas virtuais em servidores físicos. O VMware Workstation e o VMware Fusion são voltados para virtualização em desktops e notebooks, o primeiro para sistemas Windows e Linux e o segundo para macOS, sendo muito usados por desenvolvedores, administradores de sistemas e equipes de testes. O VMware Tools é um pacote de utilitários instalado nas máquinas virtuais para melhorar integração, desempenho e gerenciamento.

As vulnerabilidades afetam múltiplas versões desses produtos. No caso do ESXi, as falhas estão presentes em versões 8.0 e 7.0, corrigidas em compilações específicas publicadas no boletim oficial. No Workstation, a correção está disponível a partir da versão 17.6.4, enquanto no Fusion o problema foi tratado na versão 13.6.4. Para o VMware Tools, apenas a edição para Windows foi afetada pela CVE-2025-41239, com correção nas versões 13.0.1.0 e 12.5.3.

Mapeamento de fraquezas e por que elas importam

As vulnerabilidades CVE-2025-41236, CVE-2025-41237 e CVE-2025-41238 estão associadas ao CWE-787 (Out-of-bounds Write), um tipo de falha que ocorre quando um programa escreve dados fora da área de memória alocada. Essa violação pode corromper dados, causar falhas no sistema ou permitir a execução de código arbitrário. Em contextos de virtualização, isso significa que uma ação dentro de uma VM pode ter impacto direto no host, rompendo a barreira de isolamento que é fundamental para a segurança dessas plataformas.

A CVE-2025-41239 se relaciona ao CWE-908 (Uso de recurso não inicializado), que acontece quando variáveis ou áreas de memória são usadas antes de serem devidamente preparadas pelo software. Esse comportamento pode expor informações sensíveis ou comportamentos inesperados, sendo particularmente perigoso quando envolve dados processados pelo host ou por outras VMs.

Detecção e priorização de resposta

Embora o vetor de ataque seja local, o risco não deve ser subestimado. Ambientes de virtualização que hospedam usuários externos, fornecedores ou diferentes clientes (cenário multi-tenant) ampliam significativamente a probabilidade de exploração. O monitoramento deve incluir falhas inesperadas no processo VMX, registros de erros relacionados a adaptadores virtuais como VMXNET3 e PVSCSI, e uso anômalo de vSockets.

Além disso, um inventário detalhado para identificar quais máquinas virtuais utilizam esses componentes é essencial para priorizar o patching.

Medidas imediatas para mitigação

O passo mais importante é aplicar as correções disponibilizadas pela VMware no VMSA-2025-0013, que incluem atualizações específicas para cada produto e versão afetada. Enquanto o patching não for concluído, pode ser prudente desabilitar o adaptador VMXNET3 nas máquinas virtuais que não dependem dele para operação crítica, reduzindo a superfície de ataque da CVE-2025-41236. Em ambientes ESXi, também é indicado revisar as configurações de VMs para eliminar parâmetros não suportados que possam abrir espaço para a exploração da CVE-2025-41238.

Por fim, a gestão de privilégios dentro das VMs deve ser reforçada, limitando ao máximo o número de contas com direitos administrativos. A mitigação de riscos nesse cenário depende tanto de medidas técnicas quanto de controles de acesso, já que todas as falhas críticas exigem privilégios elevados para serem exploradas.

This post is also available in: Português

CVE-2025-53786: Vulnerabilidade de elevação de privilégio em Deployments híbridos do Microsoft Exchange Server

Postagem anterior