X-twitter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

Broadcom bloquea los parches críticos de VMware ESXi y Tools a quienes no paguen soporte

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Las vulnerabilidades permiten escape de máquina virtual, pero sin contrato de soporte no se puede parchear

Broadcom ha publicado el boletín de seguridad VMSA-2025-0013, en el que revela cuatro vulnerabilidades críticas que afectan a VMware ESXi y VMware Tools para Windows, con puntuaciones CVSS que oscilan entre 7,1 y 9,3. Entre ellas se encuentran errores que permiten la ejecución de código en el hipervisor desde una máquina virtual comprometida: el temido escape de VM.

Sin embargo, lo más preocupante no es solo la gravedad técnica de los fallos, sino la estrategia comercial que impone Broadcom: sin contrato de soporte en vigor, los clientes no pueden acceder a los parches, incluso aunque dispongan de licencias perpetuas legalmente adquiridas.

“Es inaceptable que una vulnerabilidad crítica no pueda corregirse salvo que pagues una cuota adicional. Esta política convierte el software empresarial en un riesgo sistémico”, alerta David Carrero, experto en infraestructura cloud y cofundador de Stackscale (Grupo Aire).

🛑 ¿Qué versiones están afectadas?

Los fallos afectan a múltiples versiones de VMware ESXi:

  • ESXi 8.0: requiere actualización a ESXi80U3f-24784735 o ESXi80U2e-24789317
  • ESXi 7.0: requiere actualización a ESXi70U3w-24784741

Además, VMware Tools en sistemas Windows está afectado por una vulnerabilidad de divulgación de memoria (CVE-2025-41239), que requiere actualización a:

  • Tools 13.0.1.0 o
  • Tools 12.5.3 (para Windows 32-bit)

Los sistemas Linux y macOS no se ven afectados por esta última vulnerabilidad, y no requieren actualización inmediata de Tools.

🔍 Análisis técnico de los fallos críticos

Las vulnerabilidades se identificaron durante el evento Pwn2Own Berlin 2025:

  • CVE-2025-41236 (VMXNET3): desbordamiento de entero permite ejecución de código en el host desde la VM
  • CVE-2025-41237 (VMCI): subdesbordamiento que permite escritura fuera de límites
  • CVE-2025-41238 (PVSCSI): desbordamiento en el heap
  • CVE-2025-41239 (vSockets): fuga de memoria desde procesos del host hacia la VM

Todas requieren que el atacante tenga privilegios de administrador en la VM comprometida, y permiten distintos grados de compromiso del host.

🧱 La barrera del soporte: sin contrato, sin actualizaciones

Broadcom ha confirmado en otras ocasiones que:

“Solo los clientes con contrato de soporte activo y licencias válidas para la versión correspondiente podrán ver o descargar los parches”.

Esto supone que los usuarios con entornos que no hayan renovado soporte, o que usen versiones heredadas sin contrato actualizado, no tienen derecho legal a aplicar ningún parche, aunque estén directamente afectados por fallos críticos.

El mecanismo de acceso a parches se realiza a través del portal de soporte de Broadcom, y está vinculado a las licencias registradas en cada ID de sitio. Si no se dispone de la versión exacta, el acceso se deniega.

“Es un precedente muy peligroso para la ciberseguridad corporativa. Si una empresa no puede aplicar un parche crítico por motivos comerciales, la responsabilidad del proveedor es evidente”, señala Carrero.

⚙️ Implicaciones para administradores de sistemas

  1. VMware ESXi debe ser actualizado obligatoriamente a la versión corregida correspondiente.
  2. VMware Tools en máquinas Windows debe actualizarse de forma manual (no está en Windows Update ni se incluye en la imagen base de ESXi).
  3. No hay soluciones alternativas ni mitigaciones disponibles.
  4. No se requiere actualizar vCenter, pero sí verificar compatibilidad antes de aplicar parches.
  5. El uso de Live Patch solo es posible en entornos con vSphere Foundation 9.0, y no está soportado en hosts con TPM activo.
  6. Los clientes con entornos desactualizados (vSphere 6.5/6.7) deberán actualizar a vSphere 7 o 8 con soporte extendido para poder aplicar los parches.

✅ Recomendaciones

  • Auditar de inmediato la versión de ESXi y VMware Tools instalada.
  • Verificar si existe soporte activo y si la versión afectada tiene derecho a parche.
  • Planificar migraciones urgentes o renovaciones de soporte para acceder a actualizaciones.
  • Establecer un plan de contingencia si no se puede parchear (reducción de vectores, segmentación, aislamiento).
  • En caso de infraestructura crítica, valorar transicionar hacia hipervisores con mejor política de parches (Proxmox, KVM, Nutanix CE…).

📌 Conclusión

La publicación del VMSA-2025-0013 no solo pone de relieve las vulnerabilidades técnicas en ESXi y VMware Tools, sino también la nueva realidad comercial impuesta por Broadcom: la ciberseguridad se convierte en un privilegio, no en una responsabilidad compartida.

Carrero resume la situación con claridad:

“Con políticas así, Broadcom está empujando a muchos administradores a replantearse su fidelidad a VMware. La soberanía digital empieza también por poder proteger tu infraestructura sin condiciones abusivas”.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Broadcom bloquea los parches críticos de VMware ESXi y Tools a quienes no paguen soporte

El mercado mundial de PCs crece un 4,4 % en el segundo trimestre de 2025, liderado por la demanda empresarial

La conectividad por satélite hace posible los festivales en playas, montañas y pueblos sin cobertura

El CNI-CCN y Microsoft sellan una alianza estratégica para blindar la ciberseguridad pública con inteligencia artificial

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

×