Milhares de servidores VMware ESXi vulneráveis a falhas zero-day

Dezenas de milhares de servidores VMware ESXi continuam expostos a vulnerabilidades críticas recentemente divulgadas. As falhas, identificadas como CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226, foram exploradas ativamente antes da publicação das correções, permitindo os invasores comprometer o hipervisor e, potencialmente, todas as máquinas virtuais (VM) associadas.

A Broadcom, proprietária da VMware, lançou pathes para as vulnerabilidades na semana passada, alertando os utilizadores do ESXi, Workstation e Fusion para o risco de exploração. Segundo a empresa, se um atacante já tiver conseguido permissões de administrador (ou root) dentro do sistema operativo de uma máquina virtual, poderá explorar essas vulnerabilidades para escapar dos limites da VM e assumir o controlo do hypervisor – responsável por gerir todas as máquinas virtuais num servidor.

A Microsoft foi creditada pela descoberta das vulnerabilidades, embora nem a Broadcom nem a Microsoft tenham partilhado detalhes sobre os ataques.

A CISA incluiu as falhas no seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês), que já lista quase trinta vulnerabilidades em produtos VMware. A Shadowserver Foundation identificou mais de 41 mil instâncias vulneráveis de ESXi expostas na internet, com maior incidência na China, França, EUA, Alemanha, Irão, Brasil e Coreia do Sul. Já a Netlas reportou mais de ste mil servidores ESXi suscetíveis às falhas.

De acordo com especialistas, as análises realizadas pela Shadowserver centraram-se na vulnerabilidade CVE-2025-22224, mas os sistemas identificados poderão também estar suscetíveis a outras falhas, uma vez que todas afetam as mesmas versões do software.

Até ao momento, não foram divulgados detalhes técnicos nem exploits de prova de conceito (PoC) para estas vulnerabilidades, o que pode dificultar a exploração por novos agentes de ameaça. Além disso, a ausência de informação técnica também oferece às organizações uma janela de oportunidade para aplicar as correções antes que os ataques se tornem mais disseminados.

O investigador Kevin Beaumont, que apelidou as vulnerabilidades de “ESXicape”, destacou o potencial impacto dos ataques: “depois de ter acesso ao ESX, é possível comprometer dados de máquinas virtuais, configurações do hipervisor e armazenamento montado em rede”. Além disso, os cibercriminosos podem explorar estas falhas para contornar produtos de segurança e aceder a ativos críticos, como bases de dados do Active Directory, sem acionar alarmes.

A gravidade da situação é agravada pela possibilidade de cibercriminosos utilizarem as falhas para facilitar ataques de ransomware. O especialista alertou ainda que, embora não esteja claro se está relacionado com estas vulnerabilidades, um cibercriminoso colocou recentemente à venda um exploit de VM ESXi por 150 mil dólares.