Broadcom ha advertido hoy a sus clientes sobre tres vulnerabilidades Zero-Day de VMware, etiquetadas como explotadas en ataques y reportadas por el Centro de Inteligencia de Amenazas de Microsoft.
Las vulnerabilidades (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) afectan a los productos VMware ESX, incluidos VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.
Los atacantes con privilegios de administrador o acceso raíz pueden encadenar estas fallas para escapar del entorno protegido de la máquina virtual. "Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y ha obtenido acceso privilegiado (administrador o raíz) podría entrar en el propio hipervisor", explicó hoy la empresa. "Broadcom tiene información que sugiere que la explotación de estos problemas ha ocurrido en la naturaleza".
Broadcom afirma que CVE-2025-22224 es una vulnerabilidad de desbordamiento de pila de VCMI de gravedad crítica que permite a los atacantes locales con privilegios administrativos en la máquina virtual de destino ejecutar código como el proceso VMX que se ejecuta en el host.
CVE-2025-22225 es una vulnerabilidad de escritura arbitraria de ESXi que permite que el proceso VMX active escrituras arbitrarias en el kernel, lo que lleva a un escape de la zona protegida, mientras que CVE-2025-22226 se describe como una falla de divulgación de información de HGFS que permite a los actores de amenazas con permisos de administrador filtrar memoria del proceso VMX.
Las vulnerabilidades de VMware suelen ser el objetivo de los ataques de bandas de ransomware y grupos de delincuentes informáticos patrocinados por el estado porque se utilizan comúnmente en operaciones empresariales para almacenar o transferir datos corporativos confidenciales.
Más recientemente, Broadcom advirtió en noviembre que los atacantes estaban explotando activamente dos vulnerabilidades de VMware vCenter Server que se parchearon en septiembre. Una permite la escalada de privilegios a la raíz (CVE-2024-38813), mientras que la otra es una falla crítica de ejecución remota de código (CVE-2024-38812) informada durante el concurso de piratería Matrix Cup 2024 de China.
En enero de 2024, Broadcom también reveló que atacantes estatales chinos habían explotado una vulnerabilidad crítica de vCenter Server (CVE-2023-34048) como día cero desde al menos finales de 2021 para implementar puertas traseras VirtualPita y VirtualPie en hosts ESXi vulnerables.
Fuente: BC