Vulnerabilidad alta en VMWare ESXi bajo explotación
La Agencia de Ciberseguridad y Seguridad en Infraestructura (CISA) de Estados Unidos lanzó un comunicado advirtiendo sobre la explotación activa de una vulnerabilidad en productos VMWare ESX, la cual permite a un atacante escapar del aislamiento “sandbox” de las máquinas virtuales. Se cree que no solo se está explotando esta vulnerabilidad, sino que se encadena con otras dos que salieron al mismo tiempo, y que también fueron catalogadas como “vulnerabilidad día cero bajo explotación” al momento de ser anunciadas. En su momento, estas tres vulnerabilidades recibieron el sobrenombre de “ESXiscape”.
CVE-2025-22225
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.2, y desde su salida se consideraba activamente explotada. Sin embargo, ataques recientes relacionados a grupos de ransomware (y otros actores de amenazas) han hecho sonar las alarmas de nueva cuenta. La vulnerabilidad puede permitir a un atacante local dentro de una máquina virtual con permisos de administrador, provocar que el proceso VMX escriba de forma arbitraria en el kernel, permitiendo que el atacante escape del aislamiento de la máquina virtual (“guest” o invitado) hacia el sistema real (“host” o anfitrión), obteniendo acceso a los archivos y demás información sensible.
Debido a la relación que existe entre esta vulnerabilidad y otras dos más anunciadas al mismo tiempo (marzo de 2025), se piensa que las tres vulnerabilidades están siendo usadas en conjunto en ataques. El catálogo de productos VMWare ESX es muy utilizado en entornos empresariales y también es un componente sensible, pues suele alojar información y procesos importantes, lo que los convierte en uno de los objetivos principales de los actores de amenaza.
Otras vulnerabilidades que se considera que están relacionadas:
CVE-2025-22224
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 9.3, convirtiéndola en una vulnerabilidad crítica. Se presenta debido a una falla en la asignación de memoria, pues existe un defecto del tipo TOCTOU (Time-of-Check Time-of-use), el cual se presenta cuando un programa revisa un recurso y lo usa después, dejando una ventana de tiempo en la cual un atacante puede modificar el recurso, en este caso permitiendo que un atacante con privilegios de administrador dentro de una máquina virtual (invitado) escriba fuera de los límites permitidos en la memoria y que ejecute código arbitrario como si fuera parte del proceso VMX del software de VMWare, el cual se ejecuta en el sistema anfitrión.
CVE-2025-22226
Esta vulnerabilidad recibió una calificación CVSS3.1 de 7.1, afecta al componente HGFS, un sistema de archivos que permite compartir archivos entre una máquina virtual (invitado) y el sistema anfitrión. Si un atacante local consigue escalar privilegios, puede explotar este error en HGFS para escribir más allá de los límites de la memoria de la máquina virtual y provoca una fuga de memoria en el proceso VMX que se ejecuta en el sistema anfitrión.
Versiones Afectadas
CVE-2025-22225
| Productos | Versiones afectadas | Versiones corregidas |
| VMware ESXi | 8 | Versiones superiores a las anteriormente mencionadas. |
| VMware Cloud Foundation | 5.x, 4.5.x | Versiones superiores a las anteriormente mencionadas. |
| VMware Telco Cloud Platform | 5.x, 4.x, 3.x, 2.x | Versiones superiores a las anteriormente mencionadas. |
| VMware Telco Cloud Infrastructure | 3.x, 2.x | Versiones superiores a las anteriormente mencionadas. |
CVE-2025-22224
| Productos | Versiones afectadas | Versiones corregidas |
| ESXi | 8 | ESXi80U3d-24585383 |
| Workstation | 17.x | 17.6.3 o superiores |
| VMware Cloud Foundation | 5.x, 4.5.x | Versiones superiores a las anteriormente mencionadas. |
| Telco Cloud Platform | 5.x, 4.x, 3.x, 2.x | Versiones superiores a las anteriormente mencionadas. |
CVE-2025-22226
| Productos | Versiones afectadas | Versiones corregidas |
| ESXi | 8 | ESXi80U3d-24585383 |
| VMware Workstation | 17.x | 17.6.3 o superiores |
| VMware Fusion | 13.x | 13.6.3 o superiores |
| VMware Cloud Foundation | 5.x, 4.5.x | Versiones superiores a las anteriormente mencionadas. |
Recomendaciones
- Actualizar los productos afectados a las últimas versiones.
- Auditar los permisos de administrador en máquinas virtuales que se encuentren en sistemas afectados.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Gatlan, S. (2025, Marzo 4). Broadcom fixes three VMware zero-days exploited in attacks. BleepingComputer. Recuperado el 06 de febrero de 2026, en: https://www.bleepingcomputer.com/news/security/broadcom-fixes-three-vmware-zero-days-exploited-in-attacks/
- Gatlan, S. (2026, Febrero 4). CISA: VMware ESXi flaw now exploited in ransomware attacks. BleepingComputer. Recuperado el 06 de febrero de 2026, en: https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/
- Ionut Arghire. (2026, Enero 9). Exploit for vmware zero-day flaws likely built a year before public disclosure. Security Week. Recuperado el 06 de febrero de 2026, en: https://www.securityweek.com/exploit-for-vmware-zero-day-flaws-likely-built-a-year-before-public-disclosure/
