SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

6 mar 2025

Segu-Info » , » VMware soluciona cuatrio vulnerabilidades Zero-Day críticas y explotadas activamente (actualizado)

VMware soluciona cuatrio vulnerabilidades Zero-Day críticas y explotadas activamente (actualizado)

6 mar 2025, 2:12:00 p.m.   Comenta primero!
  ,  

Broadcom ha advertido hoy a sus clientes sobre tres vulnerabilidades Zero-Day de VMware, etiquetadas como explotadas en ataques y reportadas por el Centro de Inteligencia de Amenazas de Microsoft.

Las vulnerabilidades (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) afectan a los productos VMware ESX, incluidos VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Los atacantes con privilegios de administrador o acceso raíz pueden encadenar estas fallas para escapar del entorno protegido de la máquina virtual. "Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y ha obtenido acceso privilegiado (administrador o raíz) podría entrar en el propio hipervisor", explicó hoy la empresa. "Broadcom tiene información que sugiere que la explotación de estos problemas ha ocurrido en la naturaleza".

Broadcom afirma que CVE-2025-22224 es una vulnerabilidad de desbordamiento de pila de VCMI de gravedad crítica que permite a los atacantes locales con privilegios administrativos en la máquina virtual de destino ejecutar código como el proceso VMX que se ejecuta en el host.

CVE-2025-22225 es una vulnerabilidad de escritura arbitraria de ESXi que permite que el proceso VMX active escrituras arbitrarias en el kernel, lo que lleva a un escape de la zona protegida, mientras que CVE-2025-22226 se describe como una falla de divulgación de información de HGFS que permite a los actores de amenazas con permisos de administrador filtrar memoria del proceso VMX.

Estas vulnerabilidades se están explotando activamente. Permiten a los atacantes con acceso administrativo evadir el entorno de pruebas de las máquinas virtuales y potencialmente comprometer todas las máquinas virtuales que se ejecutan en el mismo servidor. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha añadido las tres CVE a la lista de Vulnerabilidades Explotadas Conocidas (KEV).

Broadcom ha publicado las siguientes versiones corregidas para los productos VMware afectados:

  • VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
  • VMware ESXi 7.0: ESXi70U3s-24585291
  • VMware ESXi 6.7: ESXi670-202503001
  • VMware Workstation 17.x: 17.6.3
  • VMware Fusion 13.x: 13.6.3

Las vulnerabilidades de VMware suelen ser el objetivo de los ataques de bandas de ransomware y grupos de delincuentes informáticos patrocinados por el estado porque se utilizan comúnmente en operaciones empresariales para almacenar o transferir datos corporativos confidenciales.

Más recientemente, Broadcom advirtió en noviembre que los atacantes estaban explotando activamente dos vulnerabilidades de VMware vCenter Server que se parchearon en septiembre. Una permite la escalada de privilegios a la raíz (CVE-2024-38813), mientras que la otra es una falla crítica de ejecución remota de código (CVE-2024-38812) informada durante el concurso de piratería Matrix Cup 2024 de China.

En enero de 2024, Broadcom también reveló que atacantes estatales chinos habían explotado una vulnerabilidad crítica de vCenter Server (CVE-2023-34048) como Zero-Day desde al menos finales de 2021 para implementar puertas traseras VirtualPita y VirtualPie en hosts ESXi vulnerables.

Días después del lanzamiento de los parches, la plataforma de monitoreo de amenazas Shadowserver encontró más de 37.000 instancias de VMware ESXi expuestas a Internet vulnerables a los ataques CVE-2025-22224.

Actualización 25 de marzo

Broadcom lanzó otra actualización de seguridad para corregir una vulnerabilidad de omisión de autenticación de alta gravedad en VMware Tools para Windows. VMware Tools es un conjunto de controladores y utilidades diseñado para mejorar el rendimiento, los gráficos y la integración general del sistema para sistemas operativos invitados que se ejecutan en máquinas virtuales VMware.

La vulnerabilidad (CVE-2025-22230) (CVSS 7,8) se debe a una vulnerabilidad de control de acceso incorrecta y fue reportada por Sergey Bliznyuk de Positive Technologies. Atacantes locales con privilegios bajos pueden explotarla en ataques de baja complejidad que no requieren la interacción del usuario para obtener privilegios altos en máquinas virtuales vulnerables.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!