Se ha emitido una alerta global debido a un incremento sustancial en ataques de ransomware que explotan vulnerabilidades críticas en la virtualización de VMware. Los actores de amenazas están aprovechando fallos de seguridad presentes en los productos ESXi, Workstation y Fusion, lo que resulta en la inmovilización de infraestructuras empresariales.
Las vulnerabilidades identificadas, específicamente CVE-2025-22224 (con una puntuación CVSS de 9.3), CVE-2025-22225 (CVSS 8.2) y CVE-2025-22226 (CVSS 7.1), permiten a los atacantes eludir la contención de las máquinas virtuales (VM), tomar control de los hipervisores e implementar ransomware en clústeres completos.
Según la información proporcionada por Shadowserver, se ha observado que más de 41.500 hipervisores VMware ESXi expuestos a Internet son vulnerables a CVE-2025-22224, una vulnerabilidad crítica de día cero que está siendo activamente explotada en ataques, con datos registrados hasta el 4 de marzo de 2025.
CVE-2025-22224, una falla de desbordamiento de montón en el controlador VMCI de VMware, permite a atacantes con privilegios de administrador de VM ejecutar código en el proceso VMX del host. Esto sirve como punto de entrada para el compromiso del hipervisor.
Luego, los atacantes explotan CVE-2025-22225, una vulnerabilidad de escritura arbitraria, para escalar privilegios y obtener control a nivel de kernel de los hosts ESXi.
Finalmente, CVE-2025-22226 facilita el robo de credenciales a través de fugas de memoria del hipervisor, lo que permite el movimiento lateral a vCenter y otros sistemas críticos.
El ataque comienza con la vulneración de una máquina virtual conectada a Internet, a menudo mediante shells web o credenciales robadas. Una vez dentro, los adversarios explotan CVE-2025-22224 para escapar del entorno limitado de VM y ejecutar código en el host ESXi.
La escalada de privilegios a través de CVE-2025-22225 otorga acceso al kernel, mientras que CVE-2025-22226 extrae las credenciales de la memoria, evitando la detección basada en la red.
Desde el hipervisor, los atacantes recurren a vCenter a través de SSH o explotan vulnerabilidades no parcheadas, a menudo aprovechando reglas laxas de firewall entre subredes. La etapa final implica cifrar los archivos de disco de VM (VMDK) y eliminar las copias de seguridad almacenadas en los almacenes de datos de vSphere, lo que paraliza las operaciones comerciales, según el informe de Sygnia.
Los equipos de seguridad enfrentan importantes desafíos de monitoreo:
- Puntos ciegos del hipervisor: solo el 38% de las organizaciones monitorean los registros del host ESXi como /var/log/hostd.log para detectar anomalías en la administración de VM.
- Sobrecarga de ruido: los registros de VMware de gran volumen carecen de optimización de seguridad, lo que permite a los atacantes pasar desapercibidos.
- Fallos de segmentación: el 72% de las organizaciones afectadas carecían de microsegmentación entre interfaces de gestión y redes de producción.
Los sectores financiero y de salud reportan las tasas de ataque más altas, y los adversarios cifran sistemas completos de registros de pacientes y bases de datos de transacciones dentro de los 47 minutos posteriores al acceso inicial. Las demandas de rescate promedian entre 2 y 5 millones de dólares, con tácticas de doble extorsión que amenazan con la filtración de datos en foros de la web oscura.
Broadcom ya ha solucionado las vulnerabilidades de los productos VMware. El 4 de marzo de 2025, Broadcom lanzó actualizaciones de emergencia para abordar tres vulnerabilidades críticas (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) que afectan a varios productos de VMware, incluidos ESXi, Workstation y Fusion.
Broadcom ha lanzado las siguientes versiones corregidas para los productos VMware afectados:
- VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
- VMware ESXi 7.0: ESXi70U3s-24585291
- VMware ESXi 6.7: ESXi670-202503001
- VMware Workstation 17.x: 17.6.3
- VMware Fusion 13.x: 13.6.3
Además, hay parches asincrónicos disponibles para VMware Cloud Foundation, mientras que los clientes de Telco Cloud Platform deben actualizar a una versión fija de ESXi.
Broadcom insta encarecidamente a todos los clientes de VMware a que apliquen estos parches de inmediato. Las vulnerabilidades son particularmente preocupantes porque:
- Están siendo explotados activamente en la naturaleza.
- Permiten a los atacantes con acceso administrativo escapar del entorno limitado de máquinas virtuales y potencialmente comprometer todas las máquinas virtuales que se ejecutan en el mismo servidor.
- La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado los tres CVE a la lista de vulnerabilidades explotadas conocidas (KEV).
Dada la naturaleza crítica y la explotación activa de estas vulnerabilidades, las organizaciones deben identificar los sistemas afectados, aplicar los parches lo antes posible, monitorear los sistemas en busca de actividades inusuales y revisar sus prácticas de seguridad.
