VMware ESXi: Hackers exploram zero-days e driblam VMs
VMware ESXi é alvo de um novo ataque que aproveita três falhas zero-day para escapar do ambiente virtual e ganhar controle total do hypervisor, segundo a Huntress.
Sequência de invasão começa pelo SonicWall VPN
A investigação indica que o ponto inicial foi um appliance SonicWall VPN comprometido, usado para inserir um exploit criado, possivelmente, em fevereiro de 2024. Em seguida, o código malicioso mirou o host ESXi por meio das vulnerabilidades CVE-2025-22224 (gravidade 9,3), CVE-2025-22225 (8,2) e CVE-2025-22226 (7,1). Essas falhas, divulgadas pela Broadcom apenas em março de 2025 e listadas pela CISA como “exploradas em campo”, permitem vazamento de memória, corrupção de dados e execução de código como o processo VMX.
O kit, apelidado de MAESTRO, contém o “exploit.exe”, que orquestra todo o escape de máquina virtual. Ele desativa drivers VMCI com devcon.exe, insere o driver não assinado MyDriver.sys via Kernel Driver Utility (KDU) e, após identificar a versão exata do ESXi, injeta três cargas na memória do VMX: duas etapas de shellcode e o backdoor ELF “VSOCKpuppet”.
Backdoor invisível e risco de ransomware
Usando a interface VSOCK (porta 10000), o VSOCKpuppet mantém comunicação direta entre guest e host, contornando ferramentas de monitoramento de rede. Um utilitário chamado client.exe, incluído num ZIP com manual de uso, permite baixar ou subir arquivos e executar comandos no hypervisor a partir de qualquer VM Windows da mesma máquina.
A Huntress barrou o ataque antes da última fase — supostamente a implantação de ransomware —, mas alerta para a sofisticação do kit, que traz caminhos de desenvolvimento em chinês simplificado (“全版本逃逸–交付”, “escape de todas as versões – entrega”), sugerindo um grupo bem financiado e fluente nesse idioma. Outros especialistas, como os citados em matéria do CNET, reforçam que a exploração de falhas não corrigidas em hipervisores representa um dos cenários mais críticos em segurança corporativa.
Imagem: Internet
Para administradores de data center, estúdios de games que utilizam servidores virtuais e até criadores de conteúdo que hospedam laboratórios de teste, o recado é direto: aplicar os patches da Broadcom, segmentar a rede interna e monitorar acessos à VPN são passos urgentes para evitar o controle total do host a partir de uma VM.
Quer acompanhar mais alertas de segurança e dicas para manter seu ambiente digital protegido? Visite nossa editoria de tecnologia da Games In e continue evoluindo seu setup com informação de confiança.
Crédito da imagem: TheHackerNews Fonte: TheHackerNews
