Ataques en aumento y riesgo de explotación activa en sistemas de virtualización
El pasado 4 de marzo de 2025, Broadcom anunció la existencia de múltiples vulnerabilidades críticas en sus productos VMware ESXi, Workstation y Fusion. Algunas de estas fallas ya están siendo activamente explotadas por grupos de ransomware, aumentando el riesgo para empresas y administraciones que utilizan estos entornos de virtualización.
Entre las vulnerabilidades destacadas se encuentran:
- CVE-2025-22224 (criticidad 9.3 CVSSv3): Permite a un atacante con permisos administrativos dentro de una máquina virtual ejecutar código arbitrario en el hipervisor host, comprometiendo el entorno.
- CVE-2025-22225 (criticidad 8.2 CVSSv3): Posibilita la escritura arbitraria en el núcleo del sistema, permitiendo la evasión del entorno aislado (sandbox escape).
- CVE-2025-22226 (criticidad 7.1 CVSSv3): Facilita la filtración de memoria desde el proceso VMX en sistemas afectados.
Impacto y riesgos para las infraestructuras virtualizadas
El principal riesgo derivado de estas vulnerabilidades es la posibilidad de «VM Escape», una técnica en la que un atacante dentro de una máquina virtual logra ejecutar código en el hipervisor. Esto le permitiría tomar el control del servidor físico, poniendo en peligro todas las máquinas virtuales alojadas en él.
Este tipo de ataques suelen ser aprovechados por grupos de ransomware, quienes podrían cifrar servidores completos y exigir rescates millonarios a las empresas afectadas.
Actualizaciones y mitigaciones disponibles
Broadcom ha publicado parches de seguridad para las versiones soportadas de VMware, por lo que se recomienda actualizar de inmediato. Además, los usuarios con versiones no soportadas deben revisar los portales de descarga para verificar si existen actualizaciones. Se han publicado correcciones para VMware ESXi 6.5 y 6.7, aunque Broadcom sugiere migrar a vSphere 8.
Versiones corregidas:
| Producto | Versión afectada | Versión corregida |
|---|---|---|
| ESXi | 8.0 | ESXi80U3d-24585383 |
| ESXi | 8.0 | ESXi80U2d-24585300 |
| ESXi | 7.0 | ESXi70U3s-24585291 |
| ESXi | 6.7 | ESXi670-202503001 |
| Workstation | 17.x | 17.6.3 |
| Fusion | 13.x | 13.6.3 |
En esta ocasión, no existen soluciones alternativas para mitigar los riesgos, por lo que la única opción segura es actualizar los sistemas vulnerables.
Cómo identificar servidores VMware ESXi vulnerables
Para detectar si un sistema VMware ESXi en una red es vulnerable, se pueden utilizar herramientas de monitoreo como runZero, que permite realizar búsquedas avanzadas para identificar versiones obsoletas de software. Las siguientes consultas pueden ser empleadas en el Asset Inventory:
Para localizar servidores ESXi en riesgo:
os:"vmware esxi" AND (os_version:<6 OR (os_version:>6 AND os_version:<"6.7.0 build-24514018")
OR (os_version:>7 AND os_version:<"7.0.3 build-24585291")
OR (os_version:>8 AND os_version:<"8.0.2")
OR (os_version:>"8.0.2" AND os_version:<"8.0.2 build-24585300")
OR (os_version:>"8.0.3" AND os_version:<"8.0.3 build-24585383"))Para identificar máquinas virtuales ejecutándose en VMware:
source:vmwarePara localizar versiones vulnerables de Workstation y Fusion:
vendor:vmware AND ((product:Workstation AND version:<17.6.3)
OR (product:Fusion AND version:<13.6.3))Historial reciente de vulnerabilidades en VMware
Estas no son las primeras vulnerabilidades graves reportadas en VMware. En el último año, múltiples fallas han sido explotadas en la infraestructura de virtualización:
- CVE-2024-37085 (junio 2024): Fallo de validación en grupos de Active Directory que permite a un atacante con permisos suficientes obtener acceso total a un host ESXi.
- CVE-2024-22252 a CVE-2024-22255 (marzo 2024): Vulnerabilidades que permiten a código dentro de una máquina virtual acceder al sistema anfitrión de manera no autorizada.
- CVE-2021-21974 (febrero 2023): Falla en el servicio OpenSLP de ESXi que fue utilizada por el ransomware ESXiArgs para cifrar servidores.
Conclusión
La aparición constante de vulnerabilidades críticas en VMware demuestra la importancia de mantener estos entornos actualizados. Las empresas que dependen de ESXi deben priorizar la actualización inmediata de sus infraestructuras y monitorizar de forma continua sus entornos virtuales para detectar posibles ataques.
El riesgo de explotación por parte de grupos de ransomware es alto, y la falta de soluciones alternativas hace que el parcheo sea la única opción viable para protegerse.
