Se ha detectado una campaña activa de explotación contra instancias de VMware ESXi mediante un conjunto de vulnerabilidades zero-day denominado MAESTRO que permite escapes desde máquinas virtuales al hipervisor. Los atacantes obtienen acceso inicial vía VPN SonicWall comprometida, avanzan lateralmente utilizando cuentas administrativas en dominios y despliegan herramientas de reconocimiento y manipulación para ejecutar el exploit antes de desplegar ransomware. Se recomienda la detección de procesos VSOCK y la revisión de controladores no firmados para identificar compromiso.
CVE y severidad
| CVE | CVSS | Descripción |
|---|---|---|
| CVE-2025-22226 | 7.1 | Lectura fuera de límites en HGFS que filtra memoria VMX |
| CVE-2025-22224 | 9.3 | Escritura arbitraria que permite escape de sandbox VMX a kernel |
| CVE-2025-22225 | 8.2 | Escritura arbitraria que permite escape de sandbox VMX a kernel |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| VMware | ESXi | Hipervisor VMX y drivers VMCI/HGFS | Desde 5.1 hasta 8.0 (155 builds compatibles) | Plataformas x86_64 soportadas por ESXi |
Solución
Actualizar urgentemente VMware ESXi a la última versión disponible que incluye los parches correspondientes o aplicar las mitigaciones oficiales publicadas por VMware.
Recomendaciones
Priorizar la aplicación inmediata de actualizaciones a las instancias ESXi; Windows: monitorear modificaciones inusuales en reglas del firewall y procesos sospechosos como VSOCK; asegurar configuraciones y credenciales VPN; Linux/basados en Unix: usar lsof -a para detectar procesos VSOCK ocultos y restringir activación de drivers no firmados.