A CISA confirmou, nesta quarta-feira, que grupos de ransomware começaram a explorar uma vulnerabilidade crítica de sandbox escape no VMware ESXi, previamente usada em ataques zero-day.
A Broadcom corrigiu essa falha de escrita arbitrária no ESXi (identificada como
CVE-2025-22225
) em março de 2025, junto com uma vulnerabilidade de memory leak (
CVE-2025-22226
) e outra do tipo TOCTOU (
CVE-2025-22224
).
As três foram reconhecidas como zero-days ativamente exploradas.
Segundo a Broadcom, no caso do
CVE-2025-22225
, um atacante com privilégios dentro do processo VMX pode causar uma escrita arbitrária no kernel, possibilitando a fuga da sandbox da máquina virtual.
Na época do patch, a empresa já alertava que essas vulnerabilidades afetam produtos VMware ESX, incluindo ESXi, Fusion, Cloud Foundation, vSphere, Workstation e Telco Cloud Platform.
Atacantes com acesso administrativo ou root podem combinar essas falhas para escapar do ambiente isolado da VM.
Um relatório divulgado em abril pela empresa de cibersegurança Huntress apontou que grupos de ameaça chineses vêm explorando essas vulnerabilidades em ataques zero-day sofisticados desde pelo menos fevereiro de 2024.
Na atualização desta quarta-feira em sua lista de vulnerabilidades exploradas na prática, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) informou que o
CVE-2025-22225
está agora associado a campanhas de ransomware, sem fornecer detalhes adicionais sobre essas investidas.
A CISA incluiu essa falha em seu catálogo Known Exploited Vulnerabilities (KEV) em março de 2025 e determinou que agências federais devem proteger seus sistemas até 25 de março daquele ano, conforme a diretiva operacional vinculativa BOD 22-01.
“O ideal é aplicar as mitigações recomendadas pelos fornecedores, seguir as orientações da BOD 22-01 para serviços em nuvem ou descontinuar o uso do produto caso não existam correções disponíveis”, orienta a agência.
Grupos de ransomware e hackers apoiados por estados frequentemente escolhem vulnerabilidades no VMware devido ao amplo uso desses produtos em sistemas corporativos que armazenam dados sensíveis.
Por exemplo, em outubro, a CISA exigiu que agências governamentais corrigissem uma vulnerabilidade crítica (
CVE-2025-41244
) nas ferramentas Broadcom VMware Aria Operations e VMware Tools, explorada por hackers chineses em ataques zero-day desde outubro de 2024.
Mais recentemente, a agência também incluiu uma vulnerabilidade crítica no VMware vCenter Server (
CVE-2024-37079
), explorada ativamente desde janeiro, com prazo para mitigação pelos órgãos federais até 13 de fevereiro.
Em notícia relacionada, a empresa GreyNoise reportou esta semana que a CISA “silenciosamente” classificou 59 falhas de segurança como usadas em campanhas de ransomware apenas no ano passado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...