La agencia de ciberseguridad de EE. UU. (CISA) actualiza su catálogo de amenazas confirmando lo que se temía: la vulnerabilidad CVE-2025-22225 no es teórica. Grupos criminales están utilizando un toolkit sofisticado (probablemente de origen chino) para escapar de máquinas virtuales y cifrar el hipervisor desde dentro.
Si administras virtualización con VMware, esta es la alerta que no querías recibir. Hoy 5 de febrero de 2026, que la vulnerabilidad CVE-2025-22225 está siendo explotada activamente en campañas de ransomware.
Lo aterrador de este ataque es su dirección: de adentro hacia afuera. Tradicionalmente, un hacker necesita comprometer el servidor host para atacar las máquinas virtuales (VMs). En este caso, utilizan una técnica de “VM Escape” (Escape de Máquina Virtual) para saltar desde una VM infectada de bajo privilegio directamente al núcleo (Kernel) del servidor ESXi, tomando el control total de toda la infraestructura.
El Trío Tóxico (CVE-2025-22225 y amigos)
Aunque el foco está en el CVE-2025-22225, el ataque real es una cadena maestra de tres fallos que Broadcom parcheó en marzo de 2025, pero que muchos no han aplicado:
- CVE-2025-22226 (Fuga de Información): Permite al atacante leer la memoria del proceso VMX para orientarse.
- CVE-2025-22224 (Ejecución de Código): Una condición de carrera (TOCTOU) que les deja ejecutar código en el proceso de la máquina virtual.
- CVE-2025-22225 (El Escape – CVSS 8.2): La joya de la corona. Un fallo de escritura arbitraria que les permite romper la “caja de arena” (sandbox) de la VM y ejecutar código en el hipervisor anfitrión.
La Conexión China y Akira
Investigaciones forenses han encontrado huellas digitales inquietantes en el kit de explotación utilizado.
- Origen: El código del exploit contiene cadenas en chino simplificado y rutas de archivos que sugieren que esta herramienta existía como un Zero-Day funcional casi un año antes de que VMware lanzara el parche oficial.
- Los Operadores: Aunque la herramienta parece haber sido desarrollada por hackers estatales chinos para espionaje, ahora ha caído en manos de cibercriminales financieros. Grupos de ransomware como Akira y Black Basta son los principales sospechosos, conocidos por atacar agresivamente entornos ESXi Linux tras obtener acceso inicial mediante VPNs vulnerables (como SonicWall).
El Modus Operandi
- Entrada: Los atacantes entran a la red, a menudo explotando una VPN sin parches.
- Pivote: Comprometen una máquina virtual Windows cualquiera dentro de la red.
- Escape: Ejecutan el exploit. En segundos, saltan de esa VM “sacrificable” al servidor ESXi que aloja todas las máquinas de la empresa.
- Cifrado: Al tener acceso root al hipervisor, despliegan el ransomware que cifra los discos virtuales (.vmdk) de todos los servidores a la vez, paralizando la organización instantáneamente.
Acción Inmediata
CISA ha marcado este fallo como “Explotación Activa Confirmada”. No hay tiempo para ventanas de mantenimiento programadas.
- Parchear ESXi: Asegúrate de estar en una versión posterior a las actualizaciones de seguridad de marzo de 2025 (ej. ESXi 8.0 Update 3 o superior).
- Higiene de VPN: Revisa tus dispositivos de borde (SonicWall, Fortinet, Ivanti). Si tu puerta de entrada está abierta, parchear el ESXi solo te gana tiempo, no seguridad.
- Aislar el Tráfico de Gestión: La interfaz de gestión de tus ESXi no debe ser accesible desde las redes de usuarios o servidores generales.
