Broadcom ha emitido un conjunto de parches de seguridad para mitigar tres vulnerabilidades de alto riesgo (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) explotadas activamente en entornos de virtualización VMware ESXi, Workstation y Fusion. Estas brechas, catalogadas como zero-day debido a su explotación previa a la remediación, permiten ejecución remota de código (RCE), escape de máquina virtual (VM Escape) y exfiltración de memoria sensible, comprometiendo la integridad de infraestructuras críticas.
Detalles técnicos de las vulnerabilidades:
- CVE-2025-22224 (CVSSv4: 9.3)
- Tipo: Time-of-Check to Time-of-Use (TOCTOU) en el subsistema de virtualización, generando una condición de carrera que deriva en corrupción de memoria por escritura fuera de límites (OOB Write).
- Impacto: Un atacante con privilegios administrativos en una VM podría escalar ejecución arbitraria en el proceso VMX del hipervisor, logrando persistencia en el host físico.
- CVE-2025-22225 (CVSSv4: 8.2)
- Tipo: Escritura arbitraria no validada en el contexto del proceso VMX.
- Impacto: Permite a un actor malicioso con acceso a la VM comprometida realizar escape al hipervisor, violando el modelo de aislamiento guest-host.
- CVE-2025-22226 (CVSSv4: 7.1)
- Tipo: Lectura fuera de límites (OOB Read) en el servicio HGFS (Host-Guest File System).
- Impacto: Exposición de regiones de memoria del proceso VMX, facilitando el robo de claves criptográficas o datos sensibles almacenados en el hipervisor.
Versiones afectadas y remediaciones:
- VMware ESXi 8.0: Parches en builds ESXi80U3d-24585383 y ESXi80U2d-24585300.
- VMware ESXi 7.0: Mitigado en ESXi70U3s-24585291.
- VMware Workstation 17.x / Fusion 13.x: Actualizar a 17.6.3 y 13.6.3, respectivamente.
- VMware Cloud Foundation (4.x/5.x): Parches asincrónicos aplicables según versión base de ESXi.
- VMware Telco Cloud: Correcciones disponibles en builds ESXi 7.0U3s, 8.0U2d y 8.0U3d.
Broadcom ha confirmado que estas vulnerabilidades están siendo explotadas activamente, aunque no ha proporcionado detalles sobre campañas específicas en curso. El descubrimiento de estas brechas de seguridad se atribuye al Microsoft Threat Intelligence Center (MSTIC), que ha desempeñado un papel clave en la divulgación responsable de la información. En respuesta a la amenaza, la Agencia de Seguridad Cibernética de Estados Unidos (CISA) ha incluido estas vulnerabilidades en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que obliga a las agencias federales a aplicar los parches de seguridad correspondientes antes del 25 de marzo de 2025.
Recomendación:
VMware enfatiza que un atacante con acceso privilegiado a una VM podría comprometer la capa de hipervisión, lo que subraya la necesidad de:
- Aplicar inmediatamente los parches mediante ciclos de actualización acelerados.
- Restringir privilegios administrativos en VMs a modelos de mínimo privilegio.
- Monitorizar los logs del hipervisor para detectar intentos de explotación de procesos VMX.
Esta situación representa un riesgo sistémico en entornos de múltiples inquilinos, donde una brecha en una máquina virtual (VM) podría propagarse lateralmente al host físico, lo que podría derivar en un incidente crítico a nivel de la cadena de suministro. La remediación debe ser una prioridad absoluta para prevenir escenarios de compromiso desde la nube hasta el host (cloud-to-host compromise).
Fuentes:
- VMware security flaws exploited in the Wild-Broadcom releases urgent patches https://thehackernews.com/2025/03/vmware-security-flaws-exploited-in.html
- VMware ESXi gets critical patches for in-the-wild virtual machine escape attack https://www.csoonline.com/article/3837874/vmware-esxi-gets-critical-patches-for-in-the-wild-virtual-machine-escape-attack.html
- Broadcom patches 3 VMware Zero-Days exploited in the Wild https://www.securityweek.com/broadcom-patches-3-vmware-zero-days-exploited-in-the-wild/
- VMware flaws exploited in the wild; Broadcom releases patches https://www.scworld.com/news/vmware-flaws-exploited-in-the-wild-broadcom-releases-patches
- Broadcom urges clients to update software in response to 3 zero-days https://cybernews.com/security/vmware-vulnerabilities-virtual-machine-escape/
