Vulnerabilidades zero-day en productos VMware

Detalles de las vulnerabilidades

CVE-2025-22224 (CVSS 9.3)

• Vulnerabilidad de desbordamiento de montón en VCMI.

• Permite a atacantes con privilegios administrativos en una VM ejecutar código como el proceso VMX en el host.

CVE-2025-22225 (CVSS 8.2)

• Vulnerabilidad de escritura arbitraria en ESXi.

• Permite al proceso VMX realizar escrituras arbitrarias en el kernel, llevando a un escape del sandbox.

CVE-2025-22226 (CVSS 7.1)

• Vulnerabilidad de divulgación de información en HGFS.

• Permite a atacantes con privilegios administrativos en una VM filtrar memoria del proceso VMX.

Impacto y alcance

• Estas vulnerabilidades pueden encadenarse para realizar un escape de hipervisor completo.

• Un atacante podría moverse desde una VM comprometida al hipervisor mismo, obteniendo acceso a todos los datos y configuraciones del servidor ESX.

• Afecta a productos como VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Estado actual

• Se ha confirmado la explotación activa en entornos reales.

• La Fundación Shadowserver reporta que aún hay 37,000 servidores ESXi expuestos vulnerables a CVE-2025-22224.

• CISA ha añadido estas CVEs a su Catálogo de Vulnerabilidades Explotadas Conocidas.

Recomendaciones

1. Aplicar inmediatamente los parches de seguridad publicados por Broadcom.

2. Realizar una evaluación de riesgos para determinar la exposición.

3. Monitorear actividad sospechosa en los sistemas.

4. Fortalecer los controles de acceso y autenticación.

5. Implementar segmentación de red en entornos virtualizados.