La vulnerabilidad VMware ESXi ya está siendo utilizada activamente en campañas de ransomware, según ha confirmado CISA. El riesgo afecta directamente a entornos empresariales que dependen de infraestructura virtualizada para alojar sistemas críticos.
El fallo, identificado como CVE-2025-22225, permite a un atacante que ya tenga acceso a una máquina virtual ejecutar escrituras arbitrarias en el kernel del sistema y escapar del sandbox del hipervisor. En términos prácticos, esto significa que puede comprometer el host completo desde una VM.
🔍 Qué implica esta vulnerabilidad VMware ESXi
La vulnerabilidad VMware ESXi no actúa sola. Está siendo encadenada con otros fallos para maximizar el impacto:
- CVE-2025-22224 (condición TOCTOU)
- CVE-2025-22226 (fuga de memoria)
Esta combinación permite a los atacantes escalar privilegios y comprometer completamente el servidor físico que aloja múltiples máquinas virtuales.
Los productos afectados incluyen:
- VMware ESXi
- vSphere
- Cloud Foundation
- Workstation
- Fusion
- Telco Cloud Platform
Cuando una vulnerabilidad VMware ESXi permite el control del host, el impacto puede extenderse a todos los sistemas alojados en ese entorno.
🧨 De zero-day a ransomware activo
La vulnerabilidad VMware ESXi fue explotada inicialmente como zero-day. Ahora CISA la ha incluido en el catálogo Known Exploited Vulnerabilities (KEV), confirmando su uso real en ataques de ransomware.
Los entornos de virtualización son un objetivo prioritario porque:
- Centralizan múltiples cargas críticas
- Gestionan datos sensibles
- Un solo host comprometido implica impacto masivo
Una vulnerabilidad VMware ESXi explotada con éxito puede paralizar operaciones completas en minutos.
🛑 Medidas urgentes ante esta vulnerabilidad VMware ESXi
Ante la explotación activa, se recomienda:
🔐 Aplicar parches inmediatamente
Actualizar todos los hosts ESXi y revisar boletines oficiales del fabricante.
🧾 Auditar privilegios
Revisar accesos root y permisos administrativos dentro de las VMs.
📊 Monitorizar actividad anómala
Supervisar procesos VMX, escrituras en kernel y comportamiento inusual.
🧯 Plan de contención
Si se detecta explotación:
- Aislar el host
- Asumir posible compromiso total
- Restaurar desde backups verificados
🧠 Conclusión
La vulnerabilidad VMware ESXi ya no es un riesgo teórico. Es un vector real para campañas de ransomware dirigidas a infraestructura empresarial.
En entornos virtualizados, la superficie de ataque es amplia y el impacto puede ser inmediato. Si no se ha aplicado el parche, el nivel de exposición es crítico.
👉 Más información sobre nuestros servicios profesionales de ciberseguridad:
https://ghmsolucionesinformaticas.es/ciberseguridad/
Para alertas oficiales y avisos de seguridad:
https://www.incibe.es
