Hackers ligados à China exploram vulnerabilidades zero-day do VMware ESXi para escapar de máquinas virtuais

Pesquisadores de segurança descobriram uma campanha sofisticada de exploração de vulnerabilidades zero-day no VMware ESXi atribuída a fatores ligados à China. A ameaça combina técnicas de fuga de máquina virtual (VM escape) com ferramentas especializadas capazes de romper a isolação tradicional entre máquinas virtuais (VMs) e o hipervisor, abrindo caminho para controle profundo do ambiente virtualizado.

Esses ataques são particularmente preocupantes porque quebram a barreira de segurança projetada para manter VMs isoladas, permitindo que invasores obtenham acesso ao sistema host e potencialmente controlem outras VMs ou mesmo toda a infraestrutura virtualizada que hospeda cargas de trabalho críticas.

• Leia Também: Previsões de cibersegurança para 2026: O exagero Que podemos ignorar (e os riscos que não podemos)
• Leia Também: O Trend Micro Apex Central obteve uma pontuação de 9,8 no CVSS em versões Windows locais
• Leia Também: A CISA revoga 10 diretrizes de emergência de Cibersegurança emitidas entre 2019 e 2024

O que são vulnerabilidades zero-day e por que ESXi é um alvo valioso

Uma vulnerabilidade zero-day é uma falha desconhecida pelo fabricante e para a qual não existe correção disponível publicamente no momento em que está sendo explorada. Isso permite que atacantes consigam explorar o software antes que administradores ou equipes de resposta possam aplicar contramedidas.

O VMware ESXi é amplamente utilizado em ambientes corporativos para virtualizar servidores físicos e hospedar máquinas virtuais que executam aplicações empresariais, bancos de dados, sistemas de gestão e infraestrutura crítica. Quando uma vulnerabilidade no ESXi é explorada, isso pode permitir que um invasor:

• Fuja da isolação da máquina virtual (VM escape).
• Execute código no hipervisor.
• Controle outras VMs no mesmo host físico.
• Instale backdoors persistentes no ambiente.

Por isso, vulnerabilidades no ESXi são frequentemente classificadas como altamente críticas e merecem atenção imediata.

Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem e infraestrutura segura

A campanha recente: exploração antes da divulgação pública

Pesquisadores da empresa de segurança Huntress observaram que um grupo de ameaça — possivelmente ligado à China — desenvolveu ferramentas de exploração para múltiplas vulnerabilidades no ESXi bem antes de essas falhas serem tornadas públicas. Os ataques monitorados em dezembro de 2025 indicam que essas ferramentas já estavam em desenvolvimento há mais de um ano antes das vulnerabilidades serem oficialmente divulgadas.

As falhas em questão, divulgadas por Broadcom/VMware em março de 2025, incluem:

• CVE-2025-22224 — Vulnerabilidade que pode permitir a execução de código como processo de VMX.
• CVE-2025-22225 — Falha que possibilita escrita arbitrária e fuga da sandbox da VM.
• CVE-2025-22226 — Exposição de memória dentro do processo VMX.

Ao encadear essas três falhas, os atacantes conseguem escapar da máquina virtual e alcançar o código do hipervisor, abrindo o caminho para acesso mais profundo ao ambiente virtualizado.

Como os invasores conseguiram acesso inicial?

De acordo com as análises, o vetor inicial de acesso pode ter sido uma VPN da SonicWall comprometida, que permitiu aos atacantes entrar na rede alvo com credenciais privilegiadas antes de lançar a exploração de VM escape.

Uma vez dentro da rede com privilégios elevados, o grupo implantou um kit de exploração modular que inclui ferramentas que:

• Desativam drivers legítimos de comunicação entre hipervisor e VM.
• Carregam drivers kernel não assinados para abusar das falhas.
• Estabelecem persistência e comunicação através de canais como o VSOCK.

Essas capacidades permitem ao invasor manter acesso profundo e persistente ao ambiente virtualizado mesmo após tentativas de mitigação iniciais.

O que é VM escape e por que ele é tão perigoso

VM escape é uma técnica que permite a um código malicioso em uma máquina virtual romper a barreira de isolamento entre a VM e o hipervisor, alcançando o nível de controle do host físico. Isso significa que:

• Um invasor pode sair da VM onde ele começou o ataque.
• Pode comprometer o hypervisor (o “núcleo” que controla VMs).
• Pode afetar todas as VMs hospedadas naquele servidor.
• Pode roubar ou manipular dados de outros clientes no mesmo host.

Em ambientes de virtualização corporativa, esse tipo de ataque é considerado dos mais graves, pois transforma uma falha explorada em uma máquina isolada em uma brecha transversal a toda a infraestrutura.

Riscos concretos para empresas que usam VMware ESXi

Se uma exploração de VM escape for bem-sucedida, o impacto potencial pode incluir:

• Comprometimento do hipervisor inteiro, com acesso a dados sensíveis e configurações de todas as VMs.
• Instalação de backdoors persistentes em host e VMs.
• Movimento lateral dentro da rede interna, alcançando controladores de domínio e sistemas críticos.
• Propagação silenciosa de malware ou ransomware a outras partes da infraestrutura.

Aliado ao fato de que esses exploits aparentemente já estavam sendo desenvolvidos antes de serem conhecidos publicamente, o cenário ressalta a importância de resposta rápida e controles de mitigação proativos.

Como se proteger — medidas essenciais agora

1. Aplicar patches e atualizações imediatamente

Mantenha todos os servidores VMware ESXi atualizados com as versões oficiais mais recentes — especialmente após a divulgação de zero-days corrigidos.

2. Isolar e segmentar ambientes virtuais

Nunca deixe interfaces de gerenciamento de hipervisor expostas diretamente à internet — use VPNs seguras e redes isoladas.

3. Controle rigoroso de privilégios

Limite o acesso administrativo apenas a contas necessárias e use autenticação multifator (MFA) para todos os logins de alto privilégio.

4. Monitoramento de atividades suspeitas

Verifique tráfego incomum de protocolos VSOCK ou processos que tentem comunicação entre VMs e o host.

Fortaleça sua infraestrutura virtualizada

Se até ambientes fortemente isolados como VMware ESXi estão sendo visados por ataques sofisticados, sua empresa precisa garantir que a infraestrutura de base esteja segura e resiliente.

Com a Hostec você garante:

• Infraestrutura estável e segura
• Isolamento adequado de ambientes críticos
• Monitoramento contínuo
• Base robusta para proteger virtualização e aplicações sensíveis

A exploração de vulnerabilidades zero-day no VMware ESXi por hackers ligados à China é um exemplo preocupante de como ameaças avançadas podem romper a isolação de ambientes virtualizados e comprometer toda a infraestrutura.

Ataques de VM escape são raros, mas quando ocorrem, são extremamente perigosos, pois permitem que um invasor saia de uma VM e comprometa o hypervisor inteiro.

A melhor linha de defesa é a combinação de patching rápido, controle de acesso robusto, segmentação de rede e monitoramento contínuo — medidas que reduzem significativamente o risco de exploração e minimizam o impacto de falhas inevitáveis.

Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem e infraestrutura segura