Broadcom advirtió hoy a los clientes sobre tres vulnerabilidades de VMware, clasificadas como explotadas en ataques, las cuales fueron reportadas por el Microsoft Threat Intelligence Center.
Vulnerabilidades y productos afectados ⚠️
Las vulnerabilidades (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) afectan productos de VMware ESX, incluidos VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.
Impacto y explotación de las vulnerabilidades
Los atacantes con acceso privilegiado de administrador o root pueden encadenar estas fallas para escapar del entorno aislado de la máquina virtual.
Esto significa que un atacante con acceso privilegiado a un sistema operativo de invitado comprometido podría moverse al hipervisor mismo.
Detalles técnicos de las vulnerabilidades ️
- CVE-2025-22224: Vulnerabilidad crítica de desbordamiento de pila en VCMI que permite a los atacantes ejecutar código como el proceso VMX en el host.
- CVE-2025-22225: Vulnerabilidad de escritura arbitraria en ESXi que permite al proceso VMX activar escrituras arbitrarias en el núcleo, lo que lleva a una escape de sandbox.
- CVE-2025-22226: Vulnerabilidad de divulgación de información en HGFS que permite a los actores de amenazas con permisos de administrador filtrar memoria del proceso VMX.
Contexto de explotación y riesgo ⚡
Las vulnerabilidades de VMware suelen ser objetivo de grupos de ransomware y actores patrocinados por el estado debido a su uso común en operaciones empresariales para almacenar o transferir datos corporativos sensibles.
Historial reciente de vulnerabilidades
En noviembre, Broadcom advirtió sobre la explotación activa de dos vulnerabilidades de VMware vCenter Server.
En enero de 2024, también se reveló que hackers estatales chinos explotaron una vulnerabilidad crítica de vCenter Server desde 2021, usando puertas traseras VirtualPita y VirtualPie.