El pasado 4 de marzo de 2025, Broadcom lanzó una advertencia crucial para las empresas y administraciones que dependen de los sistemas de virtualización. La compañía informó sobre múltiples vulnerabilidades críticas en sus productos VMware ESXi, Workstation y Fusion, que ya están siendo explotadas activamente por grupos de ransomware. Esta situación incrementa considerablemente el riesgo para los usuarios de estas plataformas.
Entre las vulnerabilidades destacadas se encuentra la CVE-2025-22224, que alcanza una criticidad de 9.3 en el CVSSv3. Esta falla permite a un atacante con permisos administrativos en una máquina virtual ejecutar código arbitrario en el hipervisor host, comprometiendo así todo el entorno. Otra vulnerabilidad notable es la CVE-2025-22225, con una criticidad de 8.2, que posibilita la escritura arbitraria en el núcleo del sistema, facilitando de esta manera la evasión de sandbox. Por último, la CVE-2025-22226, con una criticidad de 7.1, permite la filtración de memoria desde el proceso VMX en los sistemas afectados.
El riesgo principal de estas vulnerabilidades es el llamado «VM Escape», una técnica que permite a un atacante ejecutar código en el hipervisor desde una máquina virtual, lo que podría poner en peligro el control del servidor físico y todas las máquinas virtuales alojadas en él. Este tipo de ataques es explotado frecuentemente por grupos de ransomware, que encriptan servidores enteros y extorsionan a las empresas afectadas, demandando rescates cuantiosos.
Broadcom ha reaccionado rápidamente al publicar parches de seguridad para las versiones compatibles de VMware, instando a los usuarios a actualizar sus sistemas inmediatamente. Para aquellos con versiones no soportadas, es fundamental revisar los portales de descarga para verificar la disponibilidad de actualizaciones. Se han liberado correcciones para VMware ESXi 6.5 y 6.7, aunque la empresa también sugiere migrar a vSphere 8 para una mayor seguridad.
Las versiones corregidas incluyen ESXi 8.0 actualizadas a ESXi80U3d-24585383 y ESXi80U2d-24585300, entre otras. Para productos como Workstation y Fusion, las versiones corregidas son 17.6.3 y 13.6.3, respectivamente. Dado que no existen soluciones alternativas para mitigar estos riesgos, la única opción segura es la actualización de los sistemas vulnerables.
Para identificar sistemas VMware ESXi potencialmente expuestos, se pueden utilizar herramientas de monitoreo como runZero, que facilitan la localización de versiones obsoletas mediante consultas personalizadas.
Cabe destacar que esta no es la primera vez que VMware se enfrenta a este nivel de amenazas. Durante el último año, se han explotado múltiples vulnerabilidades graves en su infraestructura, incluyendo la CVE-2024-37085 y un conjunto de fallos del pasado marzo 2024 codificados de CVE-2024-22252 a CVE-2024-22255. Además, en febrero de 2023, la vulnerabilidad CVE-2021-21974 fue utilizada por el ransomware ESXiArgs para afectar servidores.
La constante aparición de vulnerabilidades críticas en VMware subraya la importancia de mantener estos entornos actualizados. Las empresas deben priorizar la actualización inmediata de sus infraestructuras y realizar un monitoreo continuo para detectar y prevenir posibles ataques. El riesgo de explotación por parte de grupos de ransomware es significativo, y dado que no existen soluciones alternativas disponibles, la implementación oportuna de parches es la única medida efectiva para proteger estos sistemas vitales.
