Alerta de Seguridad en VMware: Explotación Activa de Vulnerabilidades Zero-Day

Broadcom, la empresa matriz de VMware, ha emitido una alerta de seguridad (VMSA-2025-0004) sobre tres vulnerabilidades críticas en sus productos.

Estas fallas, actualmente en explotación activa, afectan a soluciones clave como VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Las vulnerabilidades permiten a atacantes con privilegios de administrador o root en una máquina virtual escapar del entorno de la VM y acceder al hipervisor, lo que representa un riesgo grave para las empresas que dependen de infraestructuras virtualizadas.

Detalles de las Vulnerabilidades

Según el comunicado oficial de Broadcom, estas son las vulnerabilidades identificadas:

1. CVE-2025-22224 (Crítica, CVSS 9.3):
   • Tipo: Desbordamiento de heap en VCMI.
   • Impacto: Permite a atacantes locales con privilegios administrativos ejecutar código como el proceso VMX en el host.
2. CVE-2025-22225 (Alta, CVSS 8.2):
   • Tipo: Escritura arbitraria en ESXi.
   • Impacto: Facilita el escape del sandbox al permitir escrituras arbitrarias en el kernel.
3. CVE-2025-22226 (Media, CVSS 7.1):
   • Tipo: Divulgación de información en HGFS.
   • Impacto: Permite a los atacantes filtrar memoria del proceso VMX.

Estas fallas son especialmente peligrosas para entornos multiinquilino y empresas que utilizan VMware para cargas de trabajo críticas.

¿Quiénes están afectados?

Las vulnerabilidades impactan a los siguientes productos:

• Mware Product	Version	Running On	CVE	CVSSv3	Severity	Fixed Version	Workarounds	Additional Documentation
  VMware ESXi	8	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	ESXi80U3d-24585383	None	FAQ
  VMware ESXi	8	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	ESXi80U2d-24585300	None	FAQ
  VMware ESXi	7.0	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	ESXi70U3s-24585291	None	FAQ
  VMware Workstation	17.x	Any	CVE-2025-22224,  CVE-2025-22226	9.3, 7.1	Critical	17.6.3	None	FAQ
  VMware Fusion	13.x	Any	CVE-2025-22226	7.1	Important	13.6.3	None	FAQ
  VMware Cloud Foundation	5.x	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	Async patch to ESXi80U3d-24585383	None	Async Patching Guide: KB88287
  VMware Cloud Foundation	4.5.x	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	Async patch to ESXi70U3s-24585291	None	Async Patching Guide: KB88287
  VMware Telco Cloud Platform	5.x, 4.x, 3.x, 2.x	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	KB389385	None	FAQ
  VMware Telco Cloud Infrastructure	3.x, 2.x	Any	CVE-2025-22224, CVE-2025-22225, CVE-2025-22226	9.3, 8.2, 7.1	Critical	KB389385	None	FAQ

Si su organización utiliza versiones sin parches de estos productos, estás en riesgo. Es importante destacar que productos como VMware vCenter, SDDC Manager, NSX y Aria Suite no están afectados.

Además, Broadcom ha aclarado que deshabilitar VMware Tools no elimina el riesgo, ya que los atacantes con acceso privilegiado pueden reactivarlo.

¿Cómo se explotan estas vulnerabilidades?

Los atacantes necesitan tener privilegios de administrador o root en una máquina virtual para explotar estas fallas. Una vez dentro, pueden escapar del entorno de la VM y tomar control del hipervisor, lo que les permite acceder a otros sistemas y datos críticos.

Recomendaciones para Proteger tu Organización

Broadcom ha confirmado que no existen soluciones alternativas viables para estas vulnerabilidades. Por lo tanto, es crucial aplicar los parches de inmediato. A continuación una lista de acciones recomendadas:

1. Aplica los parches: Instala las actualizaciones de seguridad más recientes siguiendo las instrucciones del comunicado oficial.
2. Evalúa el riesgo: Identifica si tus sistemas están expuestos y prioriza la aplicación de parches en los más críticos.
3. Monitorea actividad sospechosa: Revisa logs y actividad del sistema en busca de indicadores de compromiso.
4. Refuerza controles de acceso: Limita el acceso administrativo y utiliza autenticación robusta, como MFA (autenticación multifactor).
5. Implementa segmentación de red: Restringe el movimiento lateral en entornos virtualizados para minimizar el impacto de un posible ataque.

Conclusión

Las vulnerabilidades en VMware representan un riesgo crítico para las empresas que dependen de infraestructuras virtualizadas. La explotación activa de estas fallas subraya la importancia de actuar rápidamente. Asegúrate de aplicar los parches recomendados y fortalecer las medidas de seguridad para proteger tus sistemas y datos.

La seguridad proactiva es clave en un panorama de ciberamenazas en constante evolución.