Ataques em aumento e risco de exploração ativa em sistemas de virtualização
Em 4 de março de 2025, a Broadcom revelou a existência de várias vulnerabilidades críticas em seus produtos VMware ESXi, Workstation e Fusion. Algumas dessas falhas já estão sendo exploradas ativamente por grupos de ransomware, o que aumenta o risco para empresas e administrações que utilizam esses ambientes de virtualização.
As vulnerabilidades destacadas incluem:
- CVE-2025-22224 (criticidade 9.3 CVSSv3): Permite que um atacante com permissões administrativas dentro de uma máquina virtual execute código arbitrário no hipervisor host, comprometendo o ambiente.
- CVE-2025-22225 (criticidade 8.2 CVSSv3): Possibilita a escrita arbitrária no núcleo do sistema, permitindo a evasão do ambiente isolado (sandbox escape).
- CVE-2025-22226 (criticidade 7.1 CVSSv3): Facilita a filtragem de memória a partir do processo VMX em sistemas afetados.
O principal risco associado a essas vulnerabilidades é a possibilidade de "VM Escape", uma técnica em que um invasor dentro de uma máquina virtual consegue executar código no hipervisor. Isso permitiria que o atacante tomasse o controle do servidor físico, comprometendo todas as máquinas virtuais hospedadas nele.
Ataques desse tipo são frequentemente aproveitados por grupos de ransomware, que podem criptografar servidores inteiros e exigir resgates elevados das empresas afetadas.
A Broadcom já publicou patches de segurança para as versões suportadas do VMware, e recomenda que todos os usuários atualizem imediatamente. Para aqueles que utilizam versões não suportadas, é aconselhável verificar os portais de download à caça de atualizações. Já foram disponibilizadas correções para VMware ESXi 6.5 e 6.7, embora a Broadcom sugira migrar para o vSphere 8.
Para identificar servidores VMware ESXi vulneráveis em uma rede, ferramentas de monitoramento como o runZero podem ser utilizadas, permitindo buscas detalhadas para identificar versões desatualizadas do software. Consultas específicas podem ajudar a localizar sistemas em risco, máquinas virtuais em execução e versões vulneráveis do Workstation e Fusion.
Essas não são as primeiras vulnerabilidades graves reportadas na infraestrutura de virtualização da VMware. Nos últimos doze meses, várias falhas já foram exploradas, ressaltando a necessidade de manter esses sistemas atualizados.
A frequência com que vulnerabilidades críticas surgem nos sistemas da VMware evidencia a importância de manter os ambientes sempre atualizados. Empresas que dependem do ESXi devem dar prioridade à atualização imediata de suas infraestruturas e monitorar continuamente seus ambientes virtuais para detectar possíveis ataques. O risco de exploração por grupos de ransomware é alto, e a falta de soluções alternativas torna o patching a única opção viável para proteção.