Vulnerabilidades en VMware explotadas
Broadcom ha publicado un nuevo aviso de seguridad en el cual notifica sobre tres nuevas vulnerabilidades que afectan a productos VMware. Estas vulnerabilidades van desde media hasta crítica. Las vulnerabilidades son las siguientes:
- CVE-2025-22226
Este CVE afecta a los productos VMware ESXi, Workstation y Fusion. Se trata de una CVE con un score CVSS de 7.1, lo cual la convierte en una vulnerabilidad de carácter medio. Es una falla de tipo out-of-bounds read en HGFS (módulo perteneciente a VMware). Si un atacante logra explotar esta vulnerabilidad, puede generar pérdida de memoria del proceso vmx. Aunque, para poder llevar a cabo la explotación, el atacante debe contar con privilegios administrativos locales.
- CVE-2025-22225
Esta CVE afecta a los mismos productos que la vulnerabilidad anterior y es de carácter alto, con un score CVSS de 8.2. Se trata de una vulnerabilidad de escritura que puede ser aprovechada por actores maliciosos con privilegios en el proceso vmx. Esto puede resultar en un sandbox escape, permitiendo la ejecución de código.
- CVE-2025-22224
Este CVE con un score CVSS de 9.3, es la más peligrosa de las tres discutidas en el aviso de Broadcom. Se trata de una CVE que afecta a VMware ESXi y Workstation, los cuales cuentan con una vulnerabilidad de Time-of-Check Time-of-Use (TOCTOU) que permite a un atacante realizar una escritura fuera de límites, pudiendo así ejecutar código malicioso. Para explotar la vulnerabilidad, el atacante deberá contar con privilegios administrativos locales.
Estas vulnerabilidades, aunque acaban de ser notificadas al público, se ha evidenciado que están siendo explotadas por actores maliciosos. Por ello, se recomienda actualizar a las versiones con parches de seguridad lo antes posible, ya que no existen workarounds que mitiguen estas vulnerabilidades.
Versiones Afectadas
|
Producto |
CVE |
Versiones afectadas |
Version parchada |
|
VMware ESXi versión 8.0 |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
ESXi80U3d-24585383 |
|
VMware ESXi versión 7.0 |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
ESXi70U3s-24585291 |
|
Estación de trabajo VMware versión 17.x |
CVE-2025-22224, CVE-2025-22226 |
Todas |
17.6.3 |
|
VMware Fusion version 13.x |
CVE-2025-22226 |
Todas |
13.6.3 |
|
VMware Cloud Foundation versión 5.x |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
Parche asíncrono a ESXi80U3d-24585383 |
|
VMware Cloud Foundation |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
Parche asíncrono a ESXi70U3s-24585291 |
|
Plataforma de nube de telecomunicaciones de VMware |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
KB389385 |
|
Infraestructura de nube de VMware Telco |
CVE-2025-22224, CVE-2025-22226, CVE-2025-22225 |
Todas |
KB389385 |
Recomendaciones
-
Si cuenta con alguno de los siguientes productos:
- VMware ESXi versión 8.0 actualice a la versión ESXi80U3d-24585383
- VMware ESXi versión 7.0 actualice a la versión ESXi70U3s-24585291
- Estación de trabajo VMware versión 17.x actualice a la versión 17.6.3
- VMware Fusion versión 13.x actualice a la versión 13.6.3
- VMware Cloud Foundation versión 5.x actualice a la versión ESXi80U3d-24585383.
- VMware Cloud Foundation versión 4.x actualice a la versión ESXi70U3s-24585291
- Plataforma de nube de telecomunicaciones de VMware versiones 5.x, 4.x, 3.x, 2.x actualice a la versión KB38938
- Infraestructura de nube de VMware Telco versión 3.x y 2.x actualice a la versión KB389385
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Broadcom. (2025, marzo 04). Support Content Notification - Support Portal - Broadcom support portal. Support Portal. Recuperado el 4 de marzo del 2025 en: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
-
Laksmanan, R. (2025, Marzo 4). VMware Security Flaws Exploited in the Wild—Broadcom Releases Urgent Patches. Recuperado el 4 de marzo del 2025 en: https://thehackernews.com/2025/03/vmware-security-flaws-exploited-in.html
.jfif)
