Un grupo de amenazas de habla china ha estado utilizando una vulnerabilidad desconocida durante más de un año para romper las barreras de aislamiento de la nube y controlar servidores físicos completos.
La pesadilla de cualquier arquitecto de nube se ha hecho realidad. Investigadores de seguridad han revelado que actores de amenazas vinculados a China han estado explotando un conjunto de vulnerabilidades de “Zero day” en VMware ESXi desde febrero de 2024, mucho antes de que fueran descubiertas o parchadas por Broadcom.
El ataque es técnicamente impresionante porque logra lo que se considera el “Santo Grial” del hacking de nubes: el escape de la máquina virtual (VM Escape). Esto permite a un atacante que ha comprometido una simple VM de Windows saltar “hacia arriba” y tomar el control del servidor ESXi subyacente que aloja a docenas de otras máquinas.
El Arsenal: Tres Fallos Críticos
El ataque se basa en encadenar tres vulnerabilidades específicas que ahora sabemos que Broadcom divulgó en marzo de 2025:
- CVE-2025-22224 (CVSS 9.3): El fallo principal que permite el escape.
- CVE-2025-22225 (CVSS 8.2) y CVE-2025-22226 (CVSS 7.1): Vulnerabilidades de apoyo para la ejecución y persistencia.
Lo alarmante es que el kit de herramientas encontrado en los sistemas comprometidos, que incluye carpetas con nombres en chino simplificado como “全版本逃逸–交付” (traducido: “Escape de todas las versiones — entrega”), sugiere que este exploit estaba listo y operativo un año antes de que el fabricante supiera de su existencia.
Modus Operandi: De VPN a Hypervisor
La cadena de infección documentada sigue un camino metódico:
- Acceso Inicial: Los atacantes comprometen dispositivos de borde, específicamente appliances SonicWall VPN, para entrar en la red.
- Salto al Host: Desde una máquina virtual Windows comprometida, despliegan un plugin llamado client.exe (o “GetShell Plugin”).
- El Escape: Utilizan el protocolo VSOCK (Virtual Socket), diseñado para la comunicación legítima entre el huésped y el anfitrión, como un túnel para enviar comandos maliciosos al hypervisor ESXi.
- Persistencia: Una vez en el servidor ESXi (el “metal desnudo”), instalan puertas traseras que sobreviven a los reinicios y son invisibles para las herramientas de seguridad que solo monitorean las VMs.
El mayor peligro de este ataque es la invisibilidad. Las herramientas de EDR (Endpoint Detection and Response) tradicionales se ejecutan dentro de las máquinas virtuales. Si el atacante reside en el servidor ESXi, está operando en un nivel inferior al del software de seguridad, haciéndolo prácticamente indetectable para los controles convencionales.
El tráfico malicioso a través de VSOCK tampoco pasa por los firewalls de red tradicionales, creando un punto ciego perfecto para el espionaje a largo plazo.
Recomendaciones
- Parcheo Agresivo: Asegúrese de que todos los hosts ESXi estén actualizados a las últimas versiones que mitigan los CVEs de 2025 mencionados. Las versiones al final de su vida útil (EOL) deben ser desconectadas.
- Aislamiento de Gestión: La interfaz de gestión de ESXi y vCenter nunca debe estar expuesta a internet y debe estar segregada en una VLAN de gestión estricta.
- Monitoreo de Host: Utilice herramientas que puedan inspeccionar procesos directamente en el host ESXi (como comandos lsof o soluciones especializadas de seguridad para virtualización) para buscar binarios inusuales o conexiones VSOCK anómalas.
