A CISA confirmou recentemente a exploração ativa da falha no VMware ESXi identificada como CVE-2025-22225, aumentando a preocupação de administradores de sistemas, profissionais de TI e analistas de segurança cibernética. Essa vulnerabilidade permite que invasores saiam de máquinas virtuais e atinjam o kernel do host, oferecendo uma porta direta para ataques de ransomware que podem comprometer toda a infraestrutura, seja em servidores locais ou em ambientes de nuvem corporativos.
A gravidade da situação exige atenção imediata: a falha já está sendo explorada por grupos de cibercrime sofisticados, e qualquer ambiente que não tenha sido atualizado está em risco real. Além disso, vulnerabilidades auxiliares como CVE-2025-22224 e CVE-2025-22226 ampliam o impacto potencial, tornando a aplicação de patches uma prioridade crítica.
O que é a vulnerabilidade CVE-2025-22225 e a fuga de sandbox
A CVE-2025-22225 é uma falha de fuga de sandbox no VMware ESXi, que permite que um invasor, a partir de uma máquina virtual comprometida, execute código diretamente no kernel do host. Essa técnica é extremamente perigosa porque contorna mecanismos de isolamento que normalmente protegem o servidor contra ataques vindos de suas próprias VMs.
De forma didática, o ataque funciona assim: o invasor explora vulnerabilidades internas no hipervisor para quebrar a barreira da VM, obtendo privilégios elevados e controle total sobre o sistema hospedeiro. Uma vez no kernel, é possível instalar malwares persistentes, roubar dados confidenciais e até propagar ransomware entre outras máquinas virtuais.
As falhas auxiliares, CVE-2025-22224 e CVE-2025-22226, podem ser combinadas com a CVE-2025-22225 para aumentar a eficácia do ataque, facilitando a escalada de privilégios e a execução remota de código malicioso. Esse conjunto de vulnerabilidades torna a exploração especialmente crítica em ambientes corporativos e provedores de nuvem.
O alerta da CISA e a conexão com o ransomware
A CISA incluiu a CVE-2025-22225 no seu catálogo KEV (Known Exploited Vulnerabilities) justamente devido à exploração ativa documentada. Segundo relatórios da Huntress, grupos de ameaça com origens na China estão utilizando essa falha como vetor principal para ataques de ransomware, visando grandes empresas e provedores de nuvem.
O alerta destaca que a falha não é apenas teórica: ataques reais já causaram interrupções significativas e exigiram recuperação de backups críticos. A conexão com ransomware torna a situação mais urgente, já que um invasor com acesso ao kernel pode criptografar rapidamente dados em várias máquinas virtuais e exigir resgate.
Produtos afetados e como se proteger
A vulnerabilidade impacta diversos produtos VMware, incluindo:
- VMware ESXi
- VMware Workstation
- VMware Fusion
- Ambientes híbridos que utilizam VMs hospedadas em nuvem privada
Para se proteger:
- Verifique imediatamente a versão do VMware ESXi e dos demais produtos VMware utilizados.
- Aplique os patches oficiais da VMware/Broadcom, disponíveis nas últimas atualizações de segurança.
- Monitore logs e alertas de atividade suspeita em suas VMs e hosts.
- Revise políticas de backup e planos de contingência para ransomware.
A ação rápida é crucial, já que ambientes desatualizados permanecem vulneráveis a ataques automatizados.
Conclusão e o estado da segurança em 2026
A exploração da falha no VMware ESXi mostra que mesmo soluções consolidadas de virtualização continuam suscetíveis a vulnerabilidades críticas. Em 2026, a segurança no VMware depende não apenas da tecnologia, mas da diligência dos administradores em manter sistemas atualizados e monitorados.
Administradores e profissionais de TI devem priorizar a aplicação de patches, revisar protocolos de segurança e reforçar a conscientização sobre fugas de sandbox e ransomware. Verificar versões e manter planos de recuperação atualizados é essencial para reduzir riscos e proteger dados corporativos.
Não deixe sua infraestrutura vulnerável: atualize agora e acompanhe as notícias de segurança assinando newsletters especializadas, garantindo que sua operação continue segura em um cenário cada vez mais ameaçador.
