El fallo CVE-2025-22230 permite a atacantes locales con bajos privilegios ejecutar operaciones de alto nivel dentro de máquinas virtuales Windows
Broadcom ha publicado un parche de seguridad para mitigar una vulnerabilidad crítica de bypass de autenticación en VMware Tools para Windows, identificada como CVE-2025-22230, que afecta directamente a entornos virtualizados ampliamente desplegados en infraestructuras corporativas. El fallo fue reportado por Sergey Bliznyuk, investigador de Positive Technologies.
Acceso privilegiado sin interacción del usuario
La vulnerabilidad, causada por una incorrecta implementación del control de acceso, permite a un atacante local con privilegios no administrativos ejecutar operaciones con privilegios elevados dentro de una máquina virtual Windows afectada. El ataque es de baja complejidad y no requiere interacción del usuario, lo que incrementa su nivel de criticidad.
Según el boletín de seguridad publicado por VMware, “un actor malicioso con privilegios reducidos en una VM Windows podría realizar ciertas operaciones con privilegios elevados dentro de la misma máquina virtual”.
Contexto: historial de vulnerabilidades en VMware
Esta nueva alerta se produce apenas semanas después de que Broadcom parcheara tres vulnerabilidades críticas (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) en productos VMware, las cuales fueron explotadas activamente y permitían escapar del entorno aislado de las máquinas virtuales. Dichas fallas fueron reportadas por el equipo de inteligencia de amenazas de Microsoft.
Pocos días después, la organización Shadowserver detectó más de 37.000 instancias VMware ESXi expuestas públicamente vulnerables a la CVE-2025-22224, lo que evidenció la rapidez con la que los atacantes podrían explotar estos fallos si no se aplican los parches con urgencia.
En el pasado, actores vinculados a estados también han explotado vulnerabilidades de día cero en entornos VMware. En noviembre de 2024, Broadcom informó sobre la explotación activa de dos fallos en vCenter Server identificados durante la competición Matrix Cup en China. Y en enero de 2024, se confirmó que grupos patrocinados por el gobierno chino habían abusado de la CVE-2023-34048 para desplegar puertas traseras como VirtualPita y VirtualPie en servidores ESXi.
Riesgo para infraestructuras críticas y entornos corporativos
Las herramientas de VMware, como VMware Tools, son componentes clave para la integración y optimización de sistemas operativos invitados en máquinas virtuales. Su presencia es común en infraestructuras críticas, centros de datos y entornos cloud. Vulnerabilidades como CVE-2025-22230 son especialmente peligrosas porque permiten escalar privilegios dentro de una VM comprometida, abriendo la puerta a ataques más avanzados desde dentro del entorno virtual.
Recomendaciones de seguridad
Broadcom insta a los administradores de sistemas y responsables de ciberseguridad a:
- Actualizar inmediatamente VMware Tools para Windows a la versión corregida.
- Revisar los permisos otorgados a usuarios dentro de las máquinas virtuales.
- Monitorizar la actividad en entornos virtualizados ante posibles comportamientos anómalos.
- Comprobar que los entornos de virtualización están aislados y correctamente segmentados.
La empresa también recuerda que las buenas prácticas en la gestión de parches y la segmentación de red son fundamentales para mitigar el riesgo de explotación.
Resumen técnico
- CVE: CVE-2025-22230
- Impacto: Elevación de privilegios en VM Windows
- Vector: Local
- Complejidad del ataque: Baja
- Interacción del usuario: No requerida
- Producto afectado: VMware Tools for Windows
- Solución: Actualizar a la última versión publicada por Broadcom/VMware
Fuente: Noticias Cloud
