La falla permite a atacantes locales sin privilegios elevados ejecutar operaciones de alto nivel dentro de máquinas virtuales vulnerables
Broadcom ha publicado este martes una actualización de seguridad para corregir una vulnerabilidad grave de tipo bypass de autenticación en VMware Tools para Windows, una suite esencial que optimiza el rendimiento y la integración de los sistemas operativos invitados en máquinas virtuales (VM) gestionadas con tecnología VMware.
La vulnerabilidad, catalogada como CVE-2025-22230, se debe a una debilidad en el control de acceso y fue reportada por Sergey Bliznyuk, investigador de Positive Technologies, una empresa rusa sancionada por presunto tráfico de herramientas de hacking.
Según la advertencia de seguridad emitida por VMware (ahora propiedad de Broadcom), un atacante con privilegios bajos en una máquina virtual con Windows podría aprovechar esta brecha para realizar operaciones que normalmente requerirían privilegios elevados dentro de la misma máquina virtual.
“Un actor malicioso con privilegios no administrativos en una VM Windows puede llegar a ejecutar ciertas operaciones con privilegios elevados en esa VM”, señala Broadcom en su comunicado.
Riesgo de escalada local sin interacción del usuario
El fallo puede ser explotado mediante ataques de baja complejidad que no requieren interacción del usuario, lo que lo convierte en una amenaza realista para entornos empresariales que operan con infraestructura virtualizada. Aunque el vector de ataque es local, su impacto es elevado, ya que permitiría a un atacante interno o con acceso limitado comprometer por completo el sistema operativo invitado.
Un historial reciente de vulnerabilidades críticas en VMware
Este nuevo aviso de seguridad llega semanas después de que Broadcom parcheara tres vulnerabilidades zero-day en VMware (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226), detectadas en campañas activas y reportadas por el Microsoft Threat Intelligence Center. En ese caso, los atacantes con privilegios de administrador o root podían encadenar las fallas para escapar del sandbox de la máquina virtual, comprometiendo el host o el entorno de virtualización.
La plataforma de monitorización Shadowserver detectó poco después más de 37.000 instancias de VMware ESXi expuestas a Internet vulnerables a la CVE-2025-22224, lo que demuestra la magnitud del problema.
Objetivo prioritario de grupos criminales y actores estatales
Las soluciones de VMware son ampliamente utilizadas en entornos corporativos, lo que las convierte en un objetivo habitual de grupos de ransomware y actores patrocinados por estados. En noviembre de 2024, Broadcom ya advirtió sobre la explotación activa de dos vulnerabilidades críticas en vCenter Server, detectadas durante un concurso de hacking celebrado en China.
Asimismo, en enero de 2024 se reveló que grupos vinculados a China habían explotado una vulnerabilidad zero-day en vCenter Server (CVE-2023-34048) desde finales de 2021 para desplegar las puertas traseras VirtualPita y VirtualPie en servidores ESXi comprometidos.
Recomendaciones
Broadcom recomienda a todos los administradores de sistemas y responsables de seguridad actualizar de inmediato VMware Tools para Windows a la última versión disponible. En entornos sensibles, también se aconseja revisar los registros de actividad de las máquinas virtuales y aplicar medidas adicionales de control de acceso interno.
La compañía recuerda que mantener los entornos virtualizados actualizados es esencial para prevenir incidentes graves y evitar convertirse en blanco de ciberataques sofisticados.
Más información y detalles técnicos sobre el fallo están disponibles en la página de avisos de seguridad de VMware.
