El gigante de la tecnología estadounidense Broadcom advierte que un trío de vulnerabilidades de VMware está siendo explotado activamente por los piratas informáticos maliciosos para comprometer las redes de sus clientes corporativos.
Las tres vulnerabilidades, dobladas colectivamente “Esxicape” por Un investigador de seguridad -Afectar VMware ESXI, Workstation y Fusion, que son productos hipervisores de software program ampliamente utilizados que permiten que múltiples máquinas virtuales se administren en un solo servidor. Los hipervisores se usan comúnmente para reducir la necesidad de ocupar el espacio del servidor físico.
Broadcom, que adquirió VMware en 2023, dijo que las vulnerabilidades (rastreado como CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) podría permitir que un atacante con administrador o privilegios raíz en una máquina digital escapar de su caja de enviornment protegida y obtener un acceso no autorizado más amplio al producto hipervisor subyacente.
Con el acceso al hipervisor, un atacante puede obtener acceso a cualquier otra máquina digital, incluidos sistemas virtuales propiedad de otras compañías dentro del mismo centro de datos físicos.
Broadcom cube que tiene “información para sugerir” que las vulnerabilidades han sido explotadas en la naturaleza.
“El impacto aquí es enorme, un atacante que ha comprometido a un hipervisor puede continuar comprometiendo cualquiera de las otras máquinas virtuales que comparten el mismo hipervisor”, dijo a TechCrunch Stephen menos, investigador de seguridad de la compañía de inteligencia de amenazas Rapid7.
Broadcom no compartió ningún detalle sobre la naturaleza de los ataques o los actores de amenaza detrás de ellos y no dijo si se había accedido a los datos del cliente. Un portavoz de Broadcom no respondió a las preguntas de TechCrunch. Microsoft, que descubrió e informó las vulnerabilidades a Broadcom, tampoco respondió al momento de la publicación.
El investigador de seguridad Kevin Beaumont dijo en Una publicación en Mastodon que las tres vulnerabilidades están siendo explotadas activamente por un grupo de ransomware aún sin nombre.
Las vulnerabilidades de VMware son frecuentemente dirigidas por grupos de ransomware debido a su capacidad de ser explotados para comprometer múltiples servidores durante un solo ataque, y dado que los datos corporativos confidenciales a menudo se almacenan en estos entornos virtualizados.
Microsoft descubierto en 2024 que múltiples grupos de ransomware estaban explotando una falla de VMware Hypervisor en ataques que implementan un ransomware negro Basta y Lockbit en campañas de robo de datos dirigidos a datos corporativos. El año anterior, una campaña de piratería a gran escalaApodado “Esxiargs”, vio a los grupos de ransomware explotar una vulnerabilidad de VMware de dos años para atacar a much de organizaciones en todo el mundo.
Broadcom ha lanzado parches para las tres vulnerabilidades, que se clasifican como Errores de “día cero” Debido al hecho de que fueron explotados antes de que se pusiera a disposición una solución. Broadcom describió su aviso de seguridad como un cambio de “emergencia” e insta a los clientes a aplicar los parches lo antes posible.
La agencia de ciberseguridad del gobierno de los Estados Unidos CISA también es advertencia Las agencias federales para parchear contra los errores, que ha agregado a su catálogo de vulnerabilidades que se sabe que están bajo ataque.
