Vulnerabilidades criticas en VMware

Se explotan activamente tres vulnerabilidades críticas (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226), lo que representa una amenaza importante para los entornos de virtualización.

¿Cuál es la amenaza?

Estas vulnerabilidades presentan graves riesgos para los entornos virtualizados,  ya que los cibercriminales pueden explotar fallas críticas para obtener acceso no autorizado y llevar a cabo actividades maliciosas:

CVE-2025-22224. Esta vulnerabilidad de tiempo de uso y de verificación (TOCTOU) permite una escritura fuera de los limites, lo que permite que un atacante local con privilegios administrativos ejecute código arbitrario en el host.

CVE-2025-22225. Esta falla permite escrituras arbitrarias dentro del proceso VMX, lo que potencialmente permite que un atacante escape de la maquina virtual y comprometa el sistema host.

CVE-2025-22226. Una vulnerabilidad de lectura fuera de los limites en el sistema de archivos host-guest (HGFS) que puede provocar la divulgación de datos, lo que permite a un atacante con privilegios de administrador extraer información confidencial.

¿Por qué es digno de mención?

Si no se abordan, estas vulnerabilidades podrían provocar mayores interrupciones en los servidores virtuales, lo que amenazaría la estabilidad y la seguridad de las comunicaciones y operaciones empresariales críticas que dependen del software de virtualización de Vmware. Además, la evidencia muestra que los atacantes están explotando activamente estas vulnerabilidades, lo que resalta la necesidad urgente de que las organizaciones apliquen las actualizaciones necesarias rápidamente.

¿Cuál es el riesgo?

Los riesgos asociados con estas vulnerabilidades son significativos para los entornos de virtualización. Si no se mitigan, estas vulnerabilidades podrían tener consecuencias graves, como la ejecución de codigo no autorizado, posibles violaciones de datos a traves de la exfiltración de datos y el movimiento lateral fuera del entorno protegido de la maquina virtual. Los atacantes pueden obtener acceso al hipervisor, lo que compromete aún más la seguridad de todo el entorno virtualizado.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Aplique actualizaciones de seguridad a los siguientes productos:

Vmware ESXi 8.0: Actualice a ESXi80U3d-24585383 o ESXi80U2d-24585300.

VMware ESXi 7.0: Actualice a ESXi70U3s-24585291.

VMware Workstation 17.x: Actualice a la versión 17.6.3.

VMware Fusion 13.x: Actualice a la versión 13.6.3.

VMware Cloud Foundation 5.x: Aplique el parche asincrónico a ESXi80U3d-24585383.

VMware Cloud Foundation 4.x: Aplique el parche asincrónico a ESXi70U3s-24585291.

VMware Telco Cloud Platform (5.x, 4.x, 3.x, 2.x): Actualice a ESXi 7.0U3s, ESXi 8.0U2d o ESXi 8.0U3d.

VMware Telco Cloud Infrastructure (3.x, 2.x): Actualice a ESXi 7.0U3s.

• Realice evaluaciones de seguridad periódicas de sus entornos Vmware para identificar y corregir posibles vulnerabilidades o errores de configuración.
• Restrinja los privilegios administrativos solo a aquellos usuarios que los necesitan de manera absoluta. Revise y actualice periódicamente los controles de acceso y las credenciales para minimizar el riesgo de explotación.
• Mantenga copias de seguridad periódicas de las máquinas virtuales críticas y aísle los sistemas de copia de seguridad de la red principal para protegerse contra ransomware y otros ataques.
• Cree y actualice periódicamente un plan de respuesta a incidentes que incluya procedimientos específicos para abordar las vulnerabilidades en los entornos de virtualización.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR