# CVE-2025-22225 - VMware ESXi Arbitrary Write (Escape de VM) > [!high] CVSS 8.2 - CISA KEV - Escape de Máquina Virtual Confirmado > Escrita arbitrária no kernel do VMware ESXi utilizada como terceiro estágio do toolkit MAESTRO para completar escape de VM e instalar backdoor. Explorada em campanhas de ransomware ativas contra infraestrutura virtualizada. ## Visão Geral O **CVE-2025-22225** é uma vulnerabilidade de **escrita arbitrária no kernel** do **VMware ESXi**, o hypervisor de classe enterprise mais amplamente implantado em datacenters ao redor do mundo. Esta CVE é o **terceiro e último estágio** de uma cadeia de exploração sofisticada conhecida como toolkit **MAESTRO**, que encadeia três zero-days VMware para executar um escape completo de máquina virtual - uma das ameaças mais graves em ambientes de virtualização, pois permite que código malicioso saia do isolamento de uma VM e comprometa o hypervisor host e todas as outras VMs em execução. A cadeia completa do MAESTRO combina: [[cve-2025-22224|CVE-2025-22224]] (heap overflow no HGFS para execução de código na VM), [[cve-2025-22226|CVE-2025-22226]] (information leak via VMCI para vazar endereços de memória do kernel ESXi) e esta CVE (escrita arbitrária no kernel ESXi para completar o escape e instalar o backdoor **VSOCKpuppet**). A separação em três CVEs reflete a modularidade e sofisticação do toolkit, que foi desenvolvido com nível técnico consistente com grupos de ameaça persistente avançada de estado-nação. A CISA adicionou CVE-2025-22225 ao catálogo KEV em março de 2025, confirmando uso ativo em campanhas de ransomware contra infraestrutura virtualizada. O impacto potencial é catastrófico em organizações que consolidam cargas de trabalho críticas em clusters VMware sem segmentação adequada: um único escape de VM pode resultar no comprometimento de toda a infraestrutura virtualizada - servidores de banco de dados, sistemas ERP, controladores de domínio - simultâneos. ## Produtos Afetados | Produto | Versão Afetada | Versão Corrigida | |---------|---------------|-----------------| | VMware ESXi 8.0 | 8.0 até 8.0 U3c | 8.0 U3d (ou patch de emergência) | | VMware ESXi 7.0 | 7.0 até 7.0 U3p | 7.0 U3q | | VMware ESXi 6.x | Todas as versões | Fim de suporte - migrar | | VMware vSphere (bundle) | Versões com ESXi afetado | Atualizar ESXi componente | | VMware Cloud Foundation | 5.x, 4.x | Conforme advisory VMSA-2025-0004 | ## Descrição Técnica A vulnerabilidade reside na camada de comunicação entre a VM convidada e o hypervisor ESXi. A escrita arbitrária no kernel é possibilitada pela falta de válidação adequada de limites durante operações de mapeamento de memória: 1. **Pré-requisito:** Atacante com privilégios na VM convidada (obtidos via CVE-2025-22224) 2. **Information leak:** Endereços de memória do kernel ESXi vazados via CVE-2025-22226 3. **Escrita arbitrária:** Usando os endereços conhecidos, o atacante escreve código malicioso diretamente no kernel ESXi 4. **Escape completo:** Execução de código no contexto do hypervisor, fora de qualquer VM 5. **Persistência:** Instalação do backdoor **VSOCKpuppet** no ESXi para acesso persistente **Impacto do escape:** - Acesso a todas as VMs no host comprometido (leitura/escrita de memória) - Capacidade de desligar, modificar ou destruir qualquer VM - Acesso a credenciais armazenadas nas VMs (dump de memória) - Movimento lateral para outros hosts ESXi no cluster via credenciais vCenter **TTPs associadas:** - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1611-escape-to-host|T1611 - Escape to Host]] (escape de container/VM) - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Cadeia de Exploração MAESTRO ```mermaid graph TB A["💻 VM comprometida<br/>Acesso guest com privilégios"] --> B["📦 CVE-2025-22224<br/>Heap overflow HGFS<br/>Execução no guest"] B --> C["🔍 CVE-2025-22226<br/>Information leak VMCI<br/>Endereços kernel ESXi"] C --> D["✍️ CVE-2025-22225<br/>Arbitrary write kernel<br/>Escape da VM"] D --> E["🎯 Hypervisor ESXi<br/>Comprometimento total<br/>Todas as VMs expostas"] E --> F["🚪 Backdoor VSOCKpuppet<br/>Persistência no host<br/>Ransomware deployment"] style A fill:#3498db,color:#ecf0f1 style D fill:#e74c3c,color:#ecf0f1 style E fill:#e74c3c,color:#ecf0f1 style F fill:#9b59b6,color:#ecf0f1 ``` ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O VMware ESXi domina a virtualização de infraestrutura crítica no Brasil - bancos, operadoras de telecomúnicações, planos de saúde e órgãos governamentais consolidam suas cargas de trabalho em clusters VMware. A cadeia MAESTRO representa uma ameaça de nível catastrófico para estas organizações: um único host ESXi comprometido pode expor simultaneamente servidores de banco de dados Oracle, controladores de domínio Active Directory, sistemas de ERP e aplicações de negócio críticas. Grupos de ransomware como **Black Basta** e **Akira** têm atacado ativamente infraestrutura ESXi brasileira desde 2024, e a disponibilização do toolkit MAESTRO amplifica significativamente o risco. Organizações que ainda operam ESXi 6.x (fora de suporte) são alvos de oportunidade imediatos. ## Mitigação **Patch obrigatório (VMware VMSA-2025-0004):** - Aplicar imediatamente os patches para ESXi 8.0 U3d e ESXi 7.0 U3q - Ambientes vSphere: verificar VMware Product Lifecycle Matrix para versão correta **Verificação de comprometimento (indicadores do backdoor VSOCKpuppet):** - Presença de processos ESXi anômalos ou serviços não reconhecidos - Conexões de rede incomuns originadas do host ESXi - Arquivos modificados em `/etc/` ou `/bin/` do sistema ESXi - Logs de `hostd` ou `vpxa` com erros de integridade incomuns **Hardening preventivo:** 1. Habilitar **vSphere Encryption** para proteger dados das VMs em repouso 2. Configurar **Secure Boot** para ESXi - impede carregamento de drivers não assinados 3. Segmentar o management network do ESXi - acesso apenas por bastião administrativo 4. Implementar **VMware vSphere Trust Authority** para attestation de integridade do hypervisor 5. Limitar ferramentas dentro de VMs que possam comúnicar com o hypervisor (desabilitar VMware Tools desnecessários) 6. Monitorar **VMCI (Virtual Machine Commúnication Interface)** para tráfego anômalo entre VMs e host **Workaround temporário (se patch não for possível imediatamente):** - Desabilitar HGFS (Host-Guest Filesystem) nas VMs - mitiga CVE-2025-22224, quebrando a cadeia MAESTRO - Restringir acesso ao socket VMCI nas configurações de segurança da VM ## Notas Relacionadas **Mesma cadeia (toolkit MAESTRO):** - [[cve-2025-22224|CVE-2025-22224]] - heap overflow HGFS (primeiro estágio) - [[cve-2025-22226|CVE-2025-22226]] - information leak VMCI (segundo estágio) **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1611-escape-to-host|T1611]] · [[t1486-data-encrypted-for-impact|T1486]] **Setores em risco:** [[technology]] · [[financial]] · [[government]] · [[critical-infrastructure]] ## Referências - [VMware Security Advisory VMSA-2025-0004](https://www.vmware.com/security/advisories/VMSA-2025-0004.html) - [CISA KEV Catalog - CVE-2025-22225](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2025-22225](https://nvd.nist.gov/vuln/detail/CVE-2025-22225) - [HelpNetSecurity - CISA KEV MAESTRO Chain](https://www.helpnetsecurity.com/2026/02/05/cisa-CVE-2025-22225-ransomware-exploitation/) - [BleepingComputer - VMware ESXi Zero-Days](https://www.bleepingcomputer.com)