Usuarios sin mantenimiento activo no podrán proteger sus sistemas frente a las fallas descubiertas en ESXi, Workstation, Fusion y VMware Tools
Broadcom ha publicado una alerta de seguridad crítica (VMSA-2025-0013) tras detectar y corregir múltiples vulnerabilidades graves que afectan a productos clave del ecosistema VMware: ESXi, Workstation, Fusion y VMware Tools. Las vulnerabilidades, con puntuaciones CVSS de hasta 9,3, permitirían a un atacante con acceso privilegiado en una máquina virtual comprometer el hipervisor y ejecutar código en el host, lo que representa un riesgo significativo para entornos virtualizados, especialmente en empresas e instituciones públicas.
Los fallos fueron descubiertos durante el evento de ciberseguridad Pwn2Own 2025 en Berlín, y Broadcom ha lanzado actualizaciones para remediarlos. Sin embargo, y de forma controvertida, la empresa restringe el acceso a estos parches exclusivamente a clientes con un contrato de soporte en vigor, lo que ha generado duras críticas en la comunidad tecnológica.
Vulnerabilidades de alta gravedad
Los fallos incluyen:
- CVE-2025-41236: Desbordamiento de enteros en adaptadores de red VMXNET3 (CVSS 9,3).
- CVE-2025-41237: Subdesbordamiento en VMCI que permite escritura fuera de límites (CVSS 9,3).
- CVE-2025-41238: Desbordamiento de memoria heap en el controlador PVSCSI (CVSS 9,3).
- CVE-2025-41239: Fuga de memoria por uso de memoria no inicializada en vSockets (CVSS 7,1).
Todas permiten a un atacante que ya haya comprometido una máquina virtual escalar privilegios o acceder al hipervisor, lo que supone un riesgo extremo para la confidencialidad y disponibilidad del entorno.
Sin soporte, sin parche: la nueva política de Broadcom
Desde la adquisición de VMware, Broadcom ha adoptado un enfoque estrictamente contractual sobre las actualizaciones de seguridad. En esta alerta, lo deja claro: “Para acceder a los parches necesitas una licencia activa correspondiente a la misma versión afectada”.
En otras palabras:
Si una organización no tiene contratado soporte técnico con Broadcom en el momento de la vulnerabilidad, no podrá descargar ni aplicar el parche, aunque la seguridad de su infraestructura esté en peligro.
La compañía restringe la visibilidad de las actualizaciones en su portal a quienes no tengan el producto con soporte vigente. Es más, Broadcom insiste en que no existe ningún derecho automático a recibir actualizaciones, aunque el cliente haya comprado licencias perpetuas en el pasado.
David Carrero, cofundador de Stackscale: “Es una deriva peligrosa”
El experto en tecnología e infraestructura cloud David Carrero, advierte del precedente que esta política representa:
“Restringir parches de seguridad críticos solo a quienes pagan soporte no es solo una mala práctica, es un riesgo colectivo. Cualquier organización sin soporte, aunque tenga licencias válidas, queda desprotegida ante fallos graves. Esto mina la confianza en el ecosistema VMware y puede acelerar la migración hacia soluciones abiertas o alternativas como Proxmox”
Impacto generalizado y sin soluciones alternativas
Afecta a múltiples versiones de:
- VMware ESXi 7 y 8
- Workstation 17.x, Fusion 13.x
- VMware Tools para Windows
- VMware Cloud Foundation
- VMware Telco Cloud Platform
No existen soluciones temporales (workarounds). Para protegerse, la única opción es aplicar los parches oficiales mediante un canal con soporte activo. Incluso en entornos donde se haya automatizado el ciclo de vida, Broadcom indica que los parches deben ser gestionados explícitamente mediante vSphere Lifecycle Manager con imágenes actualizadas.
“VM escape” y alta prioridad de mitigación
Los expertos en seguridad clasifican esta alerta como una situación de emergencia (emergency change). El acceso a sistemas centrales como el hipervisor desde una VM representa una forma de ataque conocida como “escape de máquina virtual”, algo especialmente temido en centros de datos y servicios en la nube.
Aunque Broadcom aclara que no hay evidencia de explotación activa en entornos reales, la publicación en el marco del Pwn2Own implica que el conocimiento de estas vulnerabilidades ya es público, lo que eleva la urgencia para aplicar las correcciones.
Un modelo de licencias cuestionado
Diversas voces del sector cuestionan la sostenibilidad del modelo actual. “Hasta hace poco, VMware ofrecía actualizaciones de seguridad para sus productos, independientemente del contrato de soporte”, señala un responsable de IT en una empresa del IBEX 35, que prefiere mantener el anonimato. “Ahora, pagar el soporte no es un valor añadido, es un requisito para no quedar expuesto”.
Esto afecta especialmente a pequeñas empresas, administraciones con presupuestos fijos y universidades que utilizan entornos virtualizados sin soporte comercial.
En resumen: recomendaciones clave
- Verificar inmediatamente si se dispone de soporte activo con Broadcom. Si no es así, no se podrá acceder al parche.
- Aplicar las actualizaciones correspondientes lo antes posible en todos los productos afectados.
- Considerar estrategias de migración o alternativas open source ante el endurecimiento de las políticas de Broadcom.
- Revisar el uso de VMXNET3, VMCI, PVSCSI y vSockets en las máquinas virtuales.
- Mantener actualizado VMware Tools en máquinas virtuales con Windows.
🔗 Alerta oficial: VMSA-2025-0013
🔗 FAQ Broadcom: https://brcm.tech/vmsa-2025-0013-qna
Fuente: Revista Cloud
