Zero-Day en VMware: CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226

La virtualización es el pilar de muchas empresas modernas, pero también un blanco atractivo para los ciberdelincuentes, especialmente los grupos de ransomware. Ahora, VMware está en la mira. Se han descubierto tres vulnerabilidades críticas (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) que ya están siendo explotadas activamente, poniendo en riesgo infraestructuras virtualizadas en todo el mundo.

El Centro de Inteligencia de Amenazas de Microsoft fue el primero en detectar estas fallas, y Broadcom ha confirmado que los ataques están en marcha. Las vulnerabilidades afectan a productos clave como VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform, lo que significa que miles de empresas pueden estar expuestas sin saberlo.

Lo que debes saber sobre las nuevas amenazas en VMware

Si usas VMware, hay un problema serio en el radar. Se han descubierto tres vulnerabilidades que permiten a los atacantes con acceso de administrador en una máquina virtual romper su aislamiento y colarse en el hipervisor. En otras palabras, pueden escapar de la máquina virtual y acceder a niveles más profundos del sistema, lo que representa un riesgo enorme.

Aquí te dejamos un resumen rápido de cada una:

1. CVE-2025-22224 (crítica, CVSS 9.3): Un fallo en VCMI que puede ser explotado por atacantes con privilegios administrativos para ejecutar código directamente en el host. Básicamente, les da el control de la máquina virtual desde dentro.
   
   
2. CVE-2025-22225 (alta, CVSS 8.2): Permite que elproceso VMX en ESXi realice escrituras arbitrarias en el kernel, lo que facilita un escape de la zona protegida.
   
   
3. CVE-2025-22226 (media, CVSS 7.1): No es tan crítica como las otras, pero permite filtrar información de la memoria del proceso VMX, lo que podría usarse en ataques más sofisticados.

Para las empresas que dependen de VMware para gestionar cargas de trabajo críticas en la nube, esto no es un simple inconveniente: es un riesgo real. Si aún no has tomado medidas, es momento de actuar antes de que estas fallas sean explotadas en tu infraestructura.

Podría interesarte leer:  Explorador de Vulnerabilidades de Wazuh: Guía completa

¿Quiénes están en riesgo?

Si tu empresa usa VMware ESX, es hora de prestar atención. Estas vulnerabilidades afectan a todos los productos que incluyen ESX, como VMware vSphere, VMware Cloud Foundation y VMware Telco Cloud Platform. En otras palabras, si estás ejecutando versiones sin parchear, tu infraestructura está expuesta.

La buena noticia es que VMware vCenter, SDDC Manager, NSX y Aria Suite NO están afectados. Sin embargo, hay un detalle importante: no puedes aplicar los parches en vivo. Además, deshabilitar VMware Tools no soluciona el problema, porque un atacante con privilegios podría volver a activarlo.

Si no estás seguro de qué versión de ESX tienes, lo mejor es asumir que eres vulnerable y actualizar de inmediato. Para más detalles sobre las versiones afectadas y los parches, revisa el aviso de seguridad oficial de VMware (VMSA-2025-0004).

¿Cómo se explotan estas vulnerabilidades?

Para aprovechar estas fallas, los atacantes primero necesitan obtener privilegios de administrador o root dentro de una máquina virtual. Si logran esto, pueden escapar del entorno de la VM y tomar control del hipervisor, lo que es un riesgo enorme, especialmente en entornos donde varias organizaciones comparten la misma infraestructura.

Actualmente, no existen soluciones temporales para estas vulnerabilidades. La única forma efectiva de proteger tu entorno es aplicar los parches de seguridad lo antes posible.

Si bien herramientas como la gestión de accesos privilegiados y las defensas basadas en host pueden añadir una capa extra de seguridad, no sustituyen la actualización del sistema. Para reducir el riesgo de explotación, sigue estos pasos clave:

1. Actualiza de inmediato: Instala los últimos parches de seguridad de VMware.
   
   
2. Evalúa tu nivel de riesgo: Tu equipo de seguridad debe determinar qué tan expuesto está tu entorno.
   
   
3. Monitorea actividad sospechosa: Revisa logs y alertas para detectar intentos de explotación.
   
   
4. Refuerza los accesos: Restringe privilegios administrativos y habilita autenticación multifactor (MFA).
   
   
5. Segmenta la red: Limita el movimiento lateral de los atacantes dentro de tu infraestructura virtualizada.

No dejes esto para después. Si usas VMware ESX, actúa ahora y evita que estas vulnerabilidades se conviertan en un problema mayor.