Hackers misbruiken actief een kwetsbaarheid van VMware ESXi, die door vele organisaties nog niet gepatcht is. In de Benelux alleen al zijn er op dit moment meer dan 1.000 kwetsbare servers te detecteren.
Criminelen maken actief misbruik van kwetsbaarheid CVE-2025-22224 in VMware ESXi. Die laat een aanvaller met lokale privileges toe om te ontsnappen uit de veilige omgeving van de virtuele machine. Vervolgens kan een hacker code draaien op de VM-host in de vorm van een VMX-proces.
lees ook
Broadcom waarschuwt VMware-gebruikers: Patch kritieke zero-day lekken direct
Broadcom heeft klanten deze week gewaarschuwd voor het lek, dat ESCicape als naam krijgt en verder nog gebruik maakt van twee andere bugs: CVE-2025-22225 en CVE-2025-22226. De bugs in kwestie zijn zero-day-kwetsbaarheden die al actief uitgebuit worden in het wild. Broadcom heeft inmiddels een patch gelanceerd en maant gebruikers aan om die meteen te installeren.
Wereldwijd probleem
Niet iedereen neemt die urgentie echter ter harte. Via Shadowserver zien we dat er op dit moment nog meer dan 1.000 servers kwetsbaar zijn in de Benelux. Het gros daarvan bevindt zich in Nederland (ongeveer 1.000), maar ook België (bijna 100) en in mindere mate Luxemburg (negen) heeft kwetsbare systemen. In Frankrijk gaat het om 4.270 installaties die hackers kunnen aanvallen, gekeken over heel Europa wordt de schaal van het probleem helemaal duidelijk met 12.600 kwetsbare VMware ESXi-servers. Wereldwijd stranden we tot slot op 41.381 servers.
Wat Shadowserver ziet, kunnen hackers ook zien. Wie op VMware ESXi van Broadcom vertrouwt, doet er goed aan om onmiddellijk de nodige patches te installeren. Er zijn geen workarounds om het probleem tijdelijk te mitigeren. Broadcom heeft een FAQ gepubiceerd met extra informatie.