Vulnerabilidades Críticas no VMware: Sem Suporte, Sem Solução
Broadcom divulgou o boletim de segurança VMSA-2025-0013, destacando quatro vulnerabilidades críticas que afetam VMware ESXi e VMware Tools para Windows. Com pontuações CVSS variando de 7,1 a 9,3, os erros permitem uma execução de código no hipervisor a partir de uma máquina virtual comprometida, possibilitando um temido “escape de VM”.
A preocupação se agrava pela política comercial da Broadcom, que impede o acesso a patches sem um contrato de suporte ativo. Isso significa que até mesmo clientes que possuem licenças perpétuas legalmente adquiridas estão impedidos de corrigir esses falhas críticas. "É inaceitável que uma vulnerabilidade crítica não possa ser corrigida a menos que você pague uma taxa adicional", denuncia David Carrero, especialista em infraestrutura em nuvem.
As versões afetadas incluem várias versões de VMware ESXi, como a 8.0 e 7.0, além do VMware Tools em sistemas Windows que exige atualizações específicas. As falhas foram identificadas durante o evento Pwn2Own Berlin 2025 e resultam em diferentes graus de comprometimento do host, exigindo que o atacante tenha privilégios administrativos na VM comprometida.
Broadcom reafirmou sua política, informando que apenas clientes com suporte ativo podem acessar e baixar os patches, criando uma barreira que pode transformar as vulnerabilidades em um risco sistêmico para empresas. "Se uma empresa não consegue aplicar um patch crítico por razões comerciais, a responsabilidade do fornecedor é evidente", acrescenta Carrero.
Administradores de sistemas são aconselhados a atualizar suas versões de VMware ESXi e VMware Tools de forma urgente. A situação chama a atenção para a necessidade de reavaliar a fidelidade à VMware, especialmente em um contexto onde a cibersegurança se torna um privilégio ligado a contratos comerciais.
