Broadcom ha alertado a sus clientes sobre tres vulnerabilidades de día cero en VMware, identificadas como explotadas en ataques y reportadas por el Centro de Inteligencia de Amenazas de Microsoft.

Las fallas de seguridad, registradas como CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226, afectan múltiples productos de VMware, incluyendo ESX, ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Los atacantes con acceso privilegiado de administrador o root pueden encadenar estos exploits para escapar del entorno aislado de una máquina virtual y comprometer el hipervisor.

“Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y ha obtenido acceso privilegiado (administrador o root) podría pasar al hipervisor en sí”, explicó Broadcom. “Tenemos información que sugiere que estos problemas han sido explotados activamente en la naturaleza.”

Detalles de las vulnerabilidades

  • CVE-2025-22224: Vulnerabilidad de desbordamiento de montón VCMI de gravedad crítica. Permite a un atacante con privilegios administrativos dentro de una máquina virtual ejecutar código como el proceso VMX, que se ejecuta en el host.
  • CVE-2025-22225: Vulnerabilidad de escritura arbitraria en ESXi. Permite al proceso VMX realizar escrituras arbitrarias en el kernel, facilitando la evasión de la sandbox.
  • CVE-2025-22226: Fuga de información en HGFS. Permite a actores maliciosos con permisos de administrador extraer memoria del proceso VMX.

Un portavoz de Microsoft no respondió de inmediato a la solicitud de comentarios de BleepingComputer sobre estas vulnerabilidades.

VMware: un objetivo frecuente de ataques

Las vulnerabilidades en productos VMware son un blanco recurrente para grupos de ransomware y actores estatales, debido a su uso extendido en entornos empresariales para el almacenamiento y la transferencia de datos críticos.

En noviembre de 2024, Broadcom advirtió sobre la explotación activa de dos fallas en vCenter Server, parcheadas en septiembre. Una de ellas permitía escalada de privilegios a root (CVE-2024-38813), mientras que la otra era un fallo crítico de ejecución remota de código (CVE-2024-38812) descubierto en el concurso de hacking Matrix Cup 2024 en China.

En enero de 2024, Broadcom reveló que hackers patrocinados por el estado chino habían explotado la vulnerabilidad crítica CVE-2023-34048 en vCenter Server como un día cero desde finales de 2021. Este ataque permitió la instalación de backdoors VirtualPita y VirtualPie en servidores ESXi vulnerables.

www.bleepingcomputer.com

You May Also Like

¡Alerta!Konni Group Despliega Documentos de Word Maliciosos en Ruso

HKN FEED

¡Alerta Urgente! Trampas de Google: Anuncios Maliciosos Engañan a Usuarios de WinSCP con Peligroso Malware. ¡Protege tu Sistema Ahora!

HKN FEED

GoldenJackal ataca embajadas y sistemas aislados con malware, utilizando herramientas especializadas para vulnerar la seguridad.

HKN FEED