VMware ESXi Zero-Day: 3 Vulnerabilidades Explotadas 2026

VMware ESXi zero-day es el protagonista de uno de los ataques más sofisticados detectados en enero de 2026. Tres vulnerabilidades críticas en VMware ESXi (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) fueron explotadas por un grupo APT vinculado a China para escapar de máquinas virtuales y comprometer hipervisores. Este VMware ESXi zero-day permitió a atacantes obtener control total sobre infraestructuras de virtualización empresariales tras comprometer un dispositivo VPN SonicWall. La firma de ciberseguridad Huntress detectó la actividad maliciosa en diciembre de 2025, justo antes de que los atacantes desplegaran ransomware en los sistemas comprometidos.

Broadcom divulgó estos fallos en marzo de 2025, confirmando que las vulnerabilidades ya estaban siendo explotadas activamente en ataques dirigidos. Microsoft Threat Intelligence Center fue quien descubrió y reportó las vulnerabilidades, mientras que CISA añadió inmediatamente los tres CVEs a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), estableciendo el 25 de marzo de 2025 como fecha límite para aplicar los parches disponibles.

¿Qué es VMware ESXi Zero-Day y Por Qué es Crítico?

El término VMware ESXi zero-day se refiere a tres vulnerabilidades de seguridad que fueron explotadas antes de que Broadcom publicara parches oficiales. VMware ESXi es un hipervisor tipo 1 (bare-metal) ampliamente utilizado en entornos empresariales para gestionar máquinas virtuales. Cuando un atacante compromete el hipervisor, obtiene acceso a todas las máquinas virtuales que se ejecutan sobre él, convirtiendo estas vulnerabilidades en blancos extremadamente valiosos.

Las tres vulnerabilidades relacionadas con VMware ESXi zero-day son:

• CVE-2025-22224 (CVSS 9.3 – Crítica): Vulnerabilidad TOCTOU (Time-of-Check Time-of-Use) que provoca escritura fuera de límites
• CVE-2025-22225 (CVSS 8.2 – Alta): Vulnerabilidad de escritura arbitraria que permite escape del sandbox
• CVE-2025-22226 (CVSS 7.1 – Importante): Divulgación de información mediante lectura fuera de límites en HGFS

Según el advisory oficial VMSA-2025-0004 de Broadcom, estas vulnerabilidades afectan a VMware ESXi, Workstation y Fusion en múltiples versiones, requiriendo actualización inmediata a las versiones parcheadas.

Detalles Técnicos de las Vulnerabilidades VMware ESXi Zero-Day

CVE-2025-22224: TOCTOU y Escape de Máquina Virtual

CVE-2025-22224 es la más crítica de las tres vulnerabilidades VMware ESXi zero-day, con un puntaje CVSS de 9.3. Esta falla TOCTOU (Time-of-Check Time-of-Use) permite que un atacante con privilegios administrativos locales en una máquina virtual ejecute código como el proceso VMX de la VM en el host físico.

El vector de ataque funciona aprovechando una condición de carrera durante la validación de operaciones de memoria. Un atacante puede sincronizar la modificación maliciosa de memoria justo después de que el sistema la valide pero antes de su uso, provocando una escritura fuera de límites que corrompe la memoria del hipervisor. Esta técnica es particularmente efectiva porque permite escalada directa desde VM guest hacia el hipervisor host.

CVE-2025-22225: Escritura Arbitraria en Kernel

Con una calificación de 8.2, CVE-2025-22225 permite a un atacante que ya ha comprometido el proceso VMX desencadenar una escritura arbitraria en el kernel que facilita el escape completo del sandbox de virtualización. Esta vulnerabilidad se encadena típicamente con CVE-2025-22224 para lograr control total del hipervisor.

CVE-2025-22226: Filtración de Memoria HGFS

CVE-2025-22226 (CVSS 7.1) es una vulnerabilidad de divulgación de información causada por lectura fuera de límites en el componente Host-Guest File System (HGFS). Un atacante con privilegios administrativos puede explotar esta falla para filtrar memoria del proceso vmx, potencialmente revelando información sensible como direcciones de memoria necesarias para exploits más sofisticados.

Análisis del Toolkit de Explotación del APT Chino

La investigación de Huntress reveló detalles fascinantes sobre el toolkit utilizado para explotar el VMware ESXi zero-day. El análisis forense identificó componentes claramente desarrollados por actores de habla china, incluyendo rutas de desarrollo con strings en chino simplificado como «全版本逃逸–交付» (Escape de todas las versiones – entrega).

Componentes del Exploit VMware ESXi Zero-Day

El toolkit de explotación del VMware ESXi zero-day incluye varios componentes especializados:

• exploit.exe (MAESTRO): Orquestador principal que gestiona el escape de la VM mediante una cadena de exploits que aprovechan filtración de información, corrupción de memoria y escape del sandbox
• devcon.exe: Utilidad para deshabilitar controladores VMCI (Virtual Machine Communication Interface) y facilitar la explotación
• MyDriver.sys: Driver de kernel cargado mediante Kernel Driver Utility (KDU) para obtener privilegios de kernel
• VSOCKpuppet: Backdoor ELF de 64 bits que proporciona acceso persistente al ESXi comprometido a través del puerto VSOCK 10000
• client.exe: Componente secundario que permite a máquinas virtuales guest emitir comandos al hipervisor comprometido

El exploit ejecuta un shellcode de tres etapas que apunta específicamente a la memoria del proceso VMX, logrando escape completo de la máquina virtual hacia el hipervisor ESXi.

Evidencia de Desarrollo Anticipado

Los investigadores encontraron indicadores que sugieren que el toolkit fue desarrollado como exploit VMware ESXi zero-day en febrero de 2024, más de un año antes de que Broadcom divulgara públicamente las vulnerabilidades en marzo de 2025. Esto indica que el grupo APT tuvo acceso exclusivo a estas vulnerabilidades durante un período prolongado, utilizándolas en operaciones dirigidas de alto valor.

Según el análisis publicado en The Hacker News, el toolkit parece distribuirse a través de canales privados a compradores autorizados en lugar de mercados públicos, sugiriendo un modelo de distribución controlada típico de herramientas APT de alto nivel.

Cadena de Ataque y Vectores de Compromiso

El ataque detectado por Huntress siguió una cadena de infección típica de operaciones APT sofisticadas que explotan VMware ESXi zero-day:

1. Acceso Inicial: Compromiso de un dispositivo VPN SonicWall, proporcionando punto de entrada a la red corporativa
2. Reconocimiento: Identificación de infraestructura VMware ESXi vulnerable en el entorno
3. Explotación: Despliegue del toolkit de explotación aprovechando las vulnerabilidades VMware ESXi zero-day
4. Escalada de Privilegios: Escape de máquina virtual hacia el hipervisor mediante la cadena CVE-2025-22224 → CVE-2025-22225
5. Persistencia: Instalación del backdoor VSOCKpuppet para acceso continuo
6. Objetivo Final: Intento de despliegue de ransomware (detenido por Huntress antes de ejecución)

Este patrón de ataque demuestra que el VMware ESXi zero-day se utilizó como parte de una operación multietapa diseñada para comprometer completamente entornos de virtualización empresariales. El uso de VPN SonicWall como vector inicial refleja una tendencia creciente de atacantes que explotan dispositivos perimetrales para obtener acceso inicial a redes corporativas, similar a lo observado en el ataque a Cisco AsyncOS.

Impacto y Alcance de las Vulnerabilidades VMware ESXi Zero-Day

Las vulnerabilidades VMware ESXi zero-day representan una amenaza crítica para organizaciones que dependen de infraestructura de virtualización VMware. El impacto potencial incluye:

• Compromiso Total del Hipervisor: El atacante obtiene control absoluto sobre todas las máquinas virtuales en el servidor ESXi afectado
• Exfiltración Masiva de Datos: Acceso a información sensible almacenada en múltiples VMs simultáneamente
• Despliegue de Ransomware: Capacidad de cifrar todas las máquinas virtuales desde el hipervisor comprometido
• Persistencia Difícil de Detectar: El backdoor VSOCKpuppet opera a nivel de hipervisor, evadiendo soluciones de seguridad basadas en VM
• Movimiento Lateral: Uso del hipervisor comprometido como plataforma para atacar otros sistemas en la red

VMware ESXi es uno de los hipervisores más desplegados globalmente, utilizado por empresas Fortune 500, proveedores de servicios cloud y organizaciones gubernamentales. Según datos de Shodan y Censys, decenas de miles de instancias ESXi están expuestas a Internet, aunque no todas son vulnerables a este VMware ESXi zero-day específico.

Mitigaciones y Recomendaciones de Seguridad para VMware ESXi Zero-Day

Acciones Inmediatas Requeridas

Las organizaciones que ejecutan VMware ESXi deben tomar acción inmediata contra el VMware ESXi zero-day:

1. Aplicar Parches Oficiales: Actualizar inmediatamente a las versiones parcheadas especificadas en VMSA-2025-0004:
   • ESXi 8.0: ESXi80U3d-24585383 o ESXi80U2d-24585300
   • ESXi 7.0: Versiones parcheadas correspondientes disponibles
2. Verificar Compromiso: Revisar logs de ESXi en busca de indicadores de explotación:
   • Actividades inusuales en procesos VMX
   • Conexiones VSOCK al puerto 10000
   • Cargas de drivers de kernel no autorizados
   • Modificaciones inesperadas en configuraciones de VM
3. Segmentar Infraestructura de Virtualización: Aislar servidores ESXi en VLANs dedicadas con acceso restringido
4. Reforzar VPN Perimetrales: Revisar y actualizar dispositivos SonicWall y otros appliances VPN, implementando autenticación multifactor
5. Monitorización Continua: Implementar detección de anomalías en comportamiento de hipervisores y tráfico VSOCK

Detección de Compromiso

Los equipos de seguridad deben buscar los siguientes indicadores de compromiso (IOCs) relacionados con el VMware ESXi zero-day:

# Verificar conexiones VSOCK sospechosas
esxcli network ip connection list | grep 10000

# Revisar drivers de kernel cargados
esxcli system module list | grep -v "^vmware"

# Examinar procesos VMX inusuales
ps -c | grep vmx | awk '{print $1, $5}'

# Auditar cambios recientes en configuración
find /etc/vmware -type f -mtime -30 -ls

Protecciones a Largo Plazo

• Gestión de Parches Proactiva: Establecer proceso de actualización regular para infraestructura de virtualización
• Principio de Mínimo Privilegio: Limitar cuentas con privilegios administrativos en VMs
• Network Segmentation: Implementar micorsegmentación para limitar movimiento lateral
• Security Hardening: Seguir guías de fortalecimiento de VMware (vSphere Hardening Guide)
• EDR en Hipervisores: Considerar soluciones especializadas de detección para entornos virtualizados

Estas medidas son especialmente críticas dado que vulnerabilidades similares han afectado otras plataformas empresariales recientemente, como se documentó en casos de explotación de Fortinet FortiGate y ataques zero-day a servidores Gogs.

Respuesta de Broadcom y Cronología del Incidente

Broadcom, actual propietario de VMware, publicó el advisory de seguridad VMSA-2025-0004 en marzo de 2025, reconociendo públicamente que tiene «información que sugiere que ha ocurrido explotación de CVE-2025-22224 en estado salvaje». La compañía coordinó la divulgación con Microsoft Threat Intelligence Center, que descubrió las vulnerabilidades durante investigaciones de amenazas avanzadas.

Cronología completa del incidente VMware ESXi zero-day:

• Febrero 2024: Evidencia sugiere desarrollo inicial del toolkit de explotación
• Diciembre 2025: Huntress detecta explotación activa en cliente empresarial
• Marzo 2025: Broadcom publica VMSA-2025-0004 con parches disponibles
• Marzo 2025: CISA añade CVEs a catálogo KEV con deadline 25 de marzo
• Enero 2026: Continúan reportes de explotación activa en entornos no parcheados

La ventana entre el desarrollo del exploit (febrero 2024) y la divulgación pública (marzo 2025) representa más de 12 meses de explotación silenciosa del VMware ESXi zero-day, período durante el cual el grupo APT pudo haber comprometido numerosas organizaciones sin detección.

FAQ sobre VMware ESXi Zero-Day

¿Cómo sé si mi servidor ESXi está afectado por VMware ESXi zero-day?

Verifica la versión de tu ESXi ejecutando vmware -v desde SSH. Si ejecutas versiones anteriores a ESXi80U3d-24585383 (para ESXi 8.0) o equivalentes parcheados para ESXi 7.0, tu sistema es vulnerable al VMware ESXi zero-day. Consulta VMSA-2025-0004 para la lista completa de versiones afectadas y parches disponibles.

¿Hay explotación activa de estas vulnerabilidades actualmente?

Sí. Tanto Broadcom como CISA confirman explotación activa en estado salvaje del VMware ESXi zero-day. Huntress documentó un caso real en diciembre de 2025 donde atacantes utilizaron el VMware ESXi zero-day como parte de una cadena de ataque que culminaría en ransomware. La inclusión en el catálogo KEV de CISA indica que múltiples instancias de explotación han sido confirmadas.

¿Qué debo hacer si sospecho que fui comprometido?

Si sospechas compromiso mediante VMware ESXi zero-day:

1. Aisla inmediatamente los servidores ESXi sospechosos de la red
2. Captura imágenes forenses de memoria y disco antes de cualquier modificación
3. Busca el backdoor VSOCKpuppet en puerto 10000 y archivos como exploit.exe, client.exe
4. Revisa logs de VPN perimetrales en busca de accesos no autorizados
5. Considera reconstrucción completa del hipervisor desde medios limpios
6. Contacta a un equipo de respuesta a incidentes especializado en amenazas APT

¿VMware Workstation y Fusion también son vulnerables?

Sí. CVE-2025-22224 y CVE-2025-22226 afectan a VMware Workstation y Fusion además de ESXi. Si utilizas estas plataformas de virtualización de escritorio, debes actualizarlas a las versiones parcheadas especificadas en VMSA-2025-0004. Aunque el toolkit de explotación documentado apunta específicamente a ESXi, las vulnerabilidades subyacentes existen en todos los productos afectados.

¿Por qué este VMware ESXi zero-day es particularmente peligroso?

El VMware ESXi zero-day es crítico por varias razones: (1) permite escape completo de máquina virtual hacia el hipervisor, comprometiendo todas las VMs; (2) fue desarrollado y explotado más de un año antes de la divulgación pública; (3) incluye backdoor sofisticado para persistencia; (4) está siendo utilizado activamente por APT estatales; (5) afecta a uno de los hipervisores más desplegados globalmente en entornos empresariales críticos.

Conclusión

Las vulnerabilidades VMware ESXi zero-day representan una de las amenazas más significativas para infraestructuras de virtualización empresarial en 2026. La combinación de tres CVEs críticos (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226), explotación activa por APT estatales, y desarrollo anticipado del toolkit de ataque crea un escenario de riesgo extremo para organizaciones que no han aplicado los parches disponibles.

La detección de explotación activa por Huntress en diciembre de 2025, junto con la evidencia de desarrollo del exploit en febrero de 2024, confirma que actores sofisticados han tenido acceso exclusivo a estas vulnerabilidades durante más de 12 meses. Durante este período, el VMware ESXi zero-day pudo haber sido utilizado en numerosas operaciones de ciberespionaje y preparación de ransomware no detectadas.

La acción inmediata requerida es clara: todas las organizaciones ejecutando VMware ESXi, Workstation o Fusion deben aplicar los parches de VMSA-2025-0004 antes del deadline establecido por CISA el 25 de marzo de 2025. Aquellas que no puedan parchear inmediatamente deben implementar controles compensatorios robustos, incluyendo segmentación de red, monitorización intensiva y restricción de acceso a infraestructura de virtualización.

Este incidente subraya la importancia crítica de mantener infraestructura de virtualización actualizada y monitoreada, especialmente dado que hipervisores comprometidos ofrecen a atacantes acceso privilegiado a todo el entorno virtualizado. Organizaciones que dependen de VMware deben tratar estas vulnerabilidades con máxima prioridad y verificar que ningún compromiso haya ocurrido antes de la aplicación de parches.