> [!danger] CVSS 9.3 - Crítico > Heap overflow no HGFS do VMware ESXi permite escape de VM para o hipervisor. Zero-day explorado em cadeia com CVE-2025-22225 e CVE-2025-22226 via toolkit MAESTRO. > [!warning] CISA KEV - Exploração Ativa em Campanhas de Ransomware > Adicionada ao catálogo CISA KEV em 2025-03-05. Confirmada em campanhas de ransomware e espionagem estatal. > [!success] Patch Disponível > ESXi 7.0: ESXi70U3s-24585291 | ESXi 8.0: ESXi80U3d-24585383 (lançados em 2025-03-04). # CVE-2025-22224 - VMware ESXi Heap Overflow HGFS (Escape de VM) > CVSS: 9.3 · EPSS: 99% · Vendor: VMware/Broadcom · Patch: Sim · CISA KEV: Sim ## Visão Geral **CVE-2025-22224** é uma vulnerabilidade crítica de heap overflow no componente **HGFS** (Host-Guest File System) do [[vmware-esxi|VMware ESXi]]. A falha permite que um atacante com acesso a uma máquina virtual convidada execute código arbitrário no hipervisor host, realizando um **escape de VM** completo - um dos tipos de ataque mais críticos em ambientes de virtualização. Esta CVE integra uma **cadeia de três zero-days** explorada pelo toolkit **MAESTRO** - identificado pela CISA com artefatos em idioma chinês - em conjunto com [[cve-2025-22225|CVE-2025-22225]] (write arbitrário no kernel) e [[cve-2025-22226|CVE-2025-22226]] (information leak VMCI). A cadeia completa resulta em comprometimento total do hipervisor ESXi e instalação do backdoor VSOCKpuppet para persistência persistente. **Pontuação de risco:** - CVSS v3.1: **9.3** (Crítico) - EPSS: **99%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2025-03-05 - Zero-day explorado antes da divulgação pública ## Attack Flow ```mermaid graph TB A["🖥️ VM Comprometida<br/>Atacante com acesso de<br/>usuário/processo na VM"] --> B["💉 CVE-2025-22226<br/>Information leak VMCI<br/>Vaza endereços de memória ESXi"] B --> C["💥 CVE-2025-22224<br/>Heap overflow HGFS<br/>Corrupção de heap no hipervisor"] C --> D["✍️ CVE-2025-22225<br/>Write arbitrário no kernel<br/>Escrita em memória do ESXi"] D --> E["🚪 Escape de VM<br/>Execução de código no<br/>hipervisor como root"] E --> F["🕸️ Backdoor VSOCKpuppet<br/>Persistência C2 via<br/>canal VSOCK"] F --> G["🌐 Comprometimento Total<br/>Acesso a todas as VMs<br/>do servidor ESXi"] ``` ## Detalhes Técnicos O componente HGFS (Host-Guest File System) do VMware ESXi facilita o compartilhamento de arquivos entre a VM convidada e o host. A vulnerabilidade é um **heap overflow** causado por: 1. **Buffer allocation insuficiente:** O HGFS aloca um buffer no heap do hipervisor para processar requisições da VM convidada 2. **Falta de válidação de tamanho:** Dados controlados pela VM convidada são copiados sem válidar o tamanho limite do buffer 3. **Corrupção de heap:** O overflow corrompe estruturas adjacentes na heap do hipervisor ESXi 4. **Escalação:** Combinado com CVE-2025-22226 (leak de endereços) e CVE-2025-22225 (write arbitrário), resulta em execução de código no hipervisor A cadeia de exploração **MAESTRO** demonstra sofisticação APT de nível Estado-nação: o toolkit foi encontrado com comentários e strings de debug em mandarim, fortemente indicando origem na República Popular da China. ## Exploração **Status atual:** Zero-day explorado em campanhas APT e ransomware confirmadas pela CISA e Broadcom. **Grupos de ameaça:** - [[unc5221]] - grupo de espionagem vinculado à China, exploração confirmada pela Mandiant **Campanhas associadas:** - [[vmware-esxi-zero-day-chain-2025]] - campanha de espionagem usando a cadeia tripla de zero-days **TTPs relacionadas:** - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escape de VM para hipervisor - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de infraestrutura virtualizada exposta - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - uso em campanhas de ransomware ## Impacto O escape de VM para o hipervisor ESXi é catastrófico porque: - **Acesso a todas as VMs:** atacante no hipervisor acessa todas as máquinas virtuais do servidor - **Persistência profunda:** backdoors instalados no hipervisor sobrevivem a reinstalações de VMs - **Exfiltração massiva:** acesso aos discos de todas as VMs, incluindo dados sensíveis - **Movimento lateral:** hipervisor comprometido como pivô para toda a infraestrutura virtual **Produtos Afetados:** | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | VMware | ESXi 7.0 | < ESXi70U3s-24585291 | ESXi70U3s-24585291 | | VMware | ESXi 8.0 | < ESXi80U3d-24585383 | ESXi80U3d-24585383 | | VMware | ESXi 8.0 U1 | < ESXi80U1d-24585300 | ESXi80U1d-24585300 | ## Mitigação **Patch oficial:** - Advisory: [Broadcom VMSA-2025-0004](https://www.broadcom.com/support/vmware-security-advisories/vmsa-2025-0004) - ESXi 7.0: atualizar para ESXi70U3s-24585291 - ESXi 8.0: atualizar para ESXi80U3d-24585383 - Data: 2025-03-04 **Ações recomendadas:** 1. Aplicar patches **imediatamente** - exploração ativa confirmada pela CISA 2. Auditar logs do ESXi para processos filhos inesperados do hostd/vmx 3. Verificar presença de arquivos não autorizados em datastores do ESXi 4. Monitorar conexões VSOCK incomuns (possível backdoor VSOCKpuppet) 5. Revisar integridade de VMs após aplicação do patch **Mitigação temporária:** - Restringir acesso ao ESXi via VPN com MFA obrigatório - Desabilitar HGFS se não utilizado (compartilhamento Host-Guest) - Isolar redes de gerenciamento do ESXi ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O **VMware ESXi** é a plataforma de virtualização dominante em data centers corporativos e governamentais no Brasil, com penetração massiva em bancos, operadoras de telecomúnicações, órgãos governamentais federais e estaduais, e hospitais. A virtualização ESXi concentra o patrimônio digital das organizações em servidores únicos - tornando um escape de VM equivalente ao comprometimento simultâneo de **toda a infraestrutura** de TI. > > Esta cadeia de zero-days representa um dos riscos mais críticos já identificados para organizações brasileiras: um atacante com acesso a qualquer VM pode comprometer o hipervisor inteiro. No contexto de ransomware, grupos como **LockBit** e **BlackBasta** já demonstraram capacidade de explorar vulnerabilidades ESXi para cifrar todos os datastores de uma vez - paralisando operações de organizações inteiras. > > O envolvimento de atores estatais chineses (**UNC5221**) com artefatos em mandarim sugere operações de espionagem contra infraestrutura crítica brasileira - incluindo setores estratégicos como energia, telecomúnicações e governo. O CERT.br e o CTIR Gov emitiriam alertas prioritários para esta cadeia de CVEs. > > **Setores prioritários para remediação no Brasil:** bancário, operadoras de telecomúnicações, hospitais e saúde, governo federal/estadual, fornecedores de energia. ## Notas Relacionadas **CVEs da cadeia MAESTRO:** [[cve-2025-22225|CVE-2025-22225]] · [[cve-2025-22226|CVE-2025-22226]] **Atores explorando:** [[unc5221]] **Campanha:** [[vmware-esxi-zero-day-chain-2025]] **TTPs relacionadas:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] **Setores em risco:** [[technology|tecnologia]] · [[government|governo]] · [[financial|financeiro]] · [[critical-infrastructure|infraestrutura crítica]] · [[healthcare|saúde]] ## Referências - [NVD - CVE-2025-22224](https://nvd.nist.gov/vuln/detail/CVE-2025-22224) - [Broadcom VMSA-2025-0004](https://www.broadcom.com/support/vmware-security-advisories/vmsa-2025-0004) - [CISA KEV - CVE-2025-22224](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [BleepingComputer - CISA VMware ESXi Ransomware](https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/)