Broadcom insta a los clientes de VMware a aplicar parches de 'bugs' de día cero de emergencia bajo explotación activa.
La gigante tecnológica estadounidense Broadcom está advirtiendo que un trío de vulnerabilidades de VMware están siendo activamente explotadas por hackers maliciosos para comprometer las redes de sus clientes corporativos.
Las tres vulnerabilidades — colectivamente denominadas “ESXicape” por un investigador de seguridad — afectan VMware ESXi, Workstation y Fusion, que son productos de software de hipervisor ampliamente utilizados que permiten gestionar múltiples máquinas virtuales en un solo servidor. Los hipervisores se utilizan comúnmente para reducir la necesidad de espacio físico en servidores.
Broadcom, que adquirió VMware en 2023, dijo que las vulnerabilidades (registradas como CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) podrían permitir a un atacante con privilegios de administrador o root en una máquina virtual escapar de su entorno protegido y obtener acceso no autorizado más amplio al producto de hipervisor subyacente.
Con acceso al hipervisor, un atacante puede obtener acceso a cualquier otra máquina virtual, incluyendo sistemas virtuales propiedad de otras empresas dentro del mismo centro de datos físico.
Broadcom afirma tener “información que sugiere” que las vulnerabilidades han sido explotadas en el mundo real.
“El impacto aquí es enorme, un atacante que ha comprometido un hipervisor puede comprometer cualquier otra máquina virtual que comparta el mismo hipervisor,” dijo Stephen Fewer, investigador principal de seguridad en la empresa de inteligencia de amenazas Rapid7, a TechCrunch.
Broadcom no compartió detalles sobre la naturaleza de los ataques ni sobre los actores de la amenaza detrás de ellos y no dijo si se había accedido a datos de clientes. Un portavoz de Broadcom no respondió a las preguntas de TechCrunch. Microsoft, que descubrió y reportó las vulnerabilidades a Broadcom, tampoco respondió por el momento.
El investigador de seguridad Kevin Beaumont dijo en una publicación en Mastodon que las tres vulnerabilidades están siendo activamente explotadas por un grupo de ransomware aún sin identificar.
Las vulnerabilidades de VMware son frecuentemente objetivo de grupos de ransomware debido a su capacidad para ser explotadas para comprometer múltiples servidores en un solo ataque, y dado que los datos corporativos sensibles a menudo se almacenan en estos entornos virtualizados.
Microsoft descubrió en 2024 que múltiples grupos de ransomware estaban explotando una falla en el hipervisor de VMware en ataques que desplegaban Black Basta y LockBit ransomware en campañas de robo de datos que afectaban datos corporativos. El año anterior, una campaña de hacking a gran escala, denominada “ESXIArgs”, vio a grupos de ransomware explotar una vulnerabilidad de VMware de dos años de antigüedad para atacar a miles de organizaciones en todo el mundo.
Broadcom ha lanzado parches para las tres vulnerabilidades, que se clasifican como “bugs de día cero” debido a que fueron explotadas antes de que se hiciera disponible una solución. Broadcom describió su aviso de seguridad como un “cambio de emergencia” y está instando a los clientes a aplicar los parches lo antes posible.
La agencia de ciberseguridad del gobierno de EE. UU., CISA, también está advirtiendo a las agencias federales que parchen contra los bugs, que ha añadido a su catálogo en curso de vulnerabilidades conocidas que están siendo atacadas.