Vmware

Um recente incidente envolvendo o grupo hacker Nitrogen revelou um bug crítico em sua variante de ransomware direcionada a hipervisores VMware ESXi. Este erro na programação resultou na perda das chaves de encriptação, tornando os dados das vítimas completamente irrecuperáveis. O ransomware, que já afetou diversas instituições financeiras e empresas industriais desde 2023, agora apresenta um novo desafio para suas vítimas: mesmo que não sejam obrigadas a pagar resgates, a falta de backups significa que os dados roubados estão perdidos para sempre. O problema ocorre durante a encriptação, onde parte da chave pública é sobrescrita, impossibilitando a combinação com a chave privada correspondente. A empresa de segurança Veeam, que reportou o incidente, não revelou os nomes das vítimas, mas destacou a gravidade da situação, especialmente para organizações que não possuem políticas de segurança robustas. Este evento ressalta a importância de medidas preventivas e de backup eficazes para mitigar os riscos associados a ataques de ransomware.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que grupos de ransomware começaram a explorar uma vulnerabilidade crítica no VMware ESXi, identificada como CVE-2025-22225. Esta falha, que permite a escrita arbitrária no kernel e a fuga do ambiente de sandbox, foi corrigida pela Broadcom em março de 2025, juntamente com outras vulnerabilidades. A exploração dessa falha é particularmente preocupante, pois pode ser encadeada com outras vulnerabilidades para comprometer sistemas virtuais. A CISA já havia classificado essa vulnerabilidade como um zero-day e alertou agências federais para que tomassem medidas de segurança até 25 de março de 2025. Relatórios indicam que atores de ameaças que falam chinês estão utilizando essas falhas em ataques sofisticados desde fevereiro de 2024. A CISA também destacou que a exploração de vulnerabilidades do VMware é comum entre grupos de ransomware, devido à ampla utilização desses produtos em sistemas empresariais que armazenam dados sensíveis. O alerta é um chamado à ação para que as organizações revisem suas defesas e apliquem as correções necessárias para evitar possíveis ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no VMware vCenter Server, identificada como CVE-2024-37079, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite a execução remota de código por meio de um estouro de heap no protocolo DCE/RPC, possibilitando que um invasor com acesso à rede do vCenter envie pacotes de rede especialmente elaborados. A Broadcom, responsável pela correção da falha em junho de 2024, confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. Pesquisadores da empresa de cibersegurança chinesa QiAnXin LegendSec descobriram essa e outras falhas relacionadas, que podem ser encadeadas para obter acesso não autorizado ao sistema ESXi. Embora ainda não se saiba a extensão dos ataques ou os grupos responsáveis, a Broadcom atualizou seu aviso para alertar sobre o abuso da vulnerabilidade. As agências do governo federal dos EUA devem atualizar para a versão mais recente até 13 de fevereiro de 2026 para garantir proteção adequada.

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2025-41244, que afeta o VMware Tools e o VMware Aria Operations. Essa falha permite que atacantes com acesso de usuário padrão a uma máquina virtual elevem seus privilégios a nível root, comprometendo a segurança de sistemas virtualizados. A vulnerabilidade é particularmente preocupante devido à sua baixa complexidade de ataque e aos requisitos mínimos para exploração, tornando-a acessível em ambientes multi-inquilinos e de hospedagem compartilhada. A CISA estabeleceu um prazo obrigatório até 20 de novembro de 2025 para que as organizações apliquem patches ou implementem medidas de segurança alternativas. A Broadcom, responsável pelo VMware, já disponibilizou orientações de segurança e patches para mitigar a falha. Enquanto isso, as organizações devem considerar restrições de acesso local e desativação de funcionalidades não essenciais como medidas temporárias. A urgência é reforçada pela natureza pública da vulnerabilidade e pela janela de exploração ativa, exigindo uma resposta rápida das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Broadcom VMware Tools e o VMware Aria Operations. Identificada como CVE-2025-41244, essa falha possui uma pontuação CVSS de 7.8 e permite que atacantes locais com privilégios não administrativos escalem suas permissões para nível root em sistemas vulneráveis. A CISA destacou que a exploração dessa vulnerabilidade pode ocorrer em máquinas virtuais (VMs) com VMware Tools instalados e geridos pelo Aria Operations, especialmente com o SDMP habilitado. A falha foi descoberta pela NVISO Labs e já estava sendo explorada como um zero-day desde outubro de 2024 por um ator de ameaça vinculado à China, identificado como UNC5174. Além disso, a CISA também listou uma vulnerabilidade crítica de injeção eval no XWiki, que permite a execução remota de código por usuários convidados. As agências do Federal Civilian Executive Branch (FCEB) devem implementar as mitig ações necessárias até 20 de novembro de 2025 para proteger suas redes contra essas ameaças.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

A VMware anunciou a atualização 25H2 para seus produtos Workstation e Fusion, introduzindo um novo sistema de versionamento baseado em calendário que facilita o gerenciamento do ciclo de vida do software. Essa mudança, que combina o ano e o semestre na nomenclatura, visa proporcionar maior clareza sobre os lançamentos, permitindo que administradores planejem atualizações com mais confiança.

Entre as principais novidades está o ‘dictTool’, uma ferramenta de linha de comando que permite inspecionar e editar arquivos de configuração do VMware diretamente de scripts ou terminais, atendendo a um pedido frequente da comunidade. Além disso, a versão 25H2 amplia a compatibilidade com os mais recentes processadores da Intel, como Lunar Lake e Meteor Lake, e suporta uma variedade de sistemas operacionais convidados, incluindo Red Hat Enterprise Linux 10 e macOS Tahoe.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.

Uma nova vulnerabilidade de segurança, identificada como CVE-2025-41244, foi descoberta nas ferramentas VMware e no VMware Aria Operations, afetando diversas versões do VMware Cloud Foundation e VMware vSphere. Com um escore CVSS de 7.8, essa falha permite a escalada de privilégios locais, possibilitando que um usuário não privilegiado execute código em um contexto privilegiado, como o root, em máquinas virtuais (VMs) afetadas. A exploração da vulnerabilidade foi atribuída ao grupo de ameaças UNC5174, vinculado à China, que a utilizou desde outubro de 2024. A falha está relacionada a uma função chamada ‘get_version()’, que, devido a um padrão de expressão regular mal formulado, permite que binários maliciosos sejam executados em diretórios acessíveis a usuários não privilegiados. A VMware já lançou patches para mitigar a vulnerabilidade, mas a exploração em ambientes reais levanta preocupações sobre a segurança das infraestruturas que utilizam suas soluções. A situação exige atenção imediata de profissionais de segurança da informação, especialmente em contextos onde as tecnologias da VMware são amplamente utilizadas.

Recentemente, a Broadcom divulgou o aviso VMSA-2025-0016, que aborda três vulnerabilidades significativas nos produtos VMware vCenter Server e NSX. Essas falhas, classificadas como importantes, permitem que atacantes maliciosos manipulem cabeçalhos SMTP e enumere nomes de usuários válidos, criando oportunidades para ataques direcionados, como phishing e movimentação lateral na rede.

As vulnerabilidades incluem: CVE-2025-41250, que permite a injeção de cabeçalhos SMTP por usuários com permissão para criar tarefas agendadas no vCenter; CVE-2025-41251, que expõe um mecanismo fraco de recuperação de senhas no NSX, permitindo que atacantes não autenticados verifiquem a existência de nomes de usuários; e CVE-2025-41252, que utiliza diferenças sutis no tempo de resposta do login do NSX para inferir nomes de usuários válidos.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-41244, afeta o VMware Tools e o VMware Aria Operations, permitindo que usuários não privilegiados executem código com privilégios de root sem autenticação. Essa falha, explorada ativamente pelo grupo de ameaças UNC5174 desde outubro de 2024, resulta de padrões de expressão regular excessivamente amplos no componente get-versions.sh, que pode ser manipulado para executar binários maliciosos. O ataque ocorre em ambientes de nuvem híbrida, onde a execução de um binário malicioso em diretórios graváveis, como /tmp/httpd, pode levar a um shell de root. Para mitigar essa vulnerabilidade, recomenda-se que as organizações apliquem patches imediatamente, monitorem processos e restrinjam permissões de gravação em diretórios vulneráveis. A gravidade da situação exige uma resposta rápida para proteger as infraestruturas críticas contra ameaças persistentes avançadas.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

A Tesco, uma das maiores redes de supermercados do Reino Unido, processou a Broadcom e um revendedor da VMware, buscando £100 milhões em danos por suposta violação de contrato relacionada a licenças de software. A disputa surgiu após a aquisição de licenças perpétuas para os produtos VMware vSphere Foundation e Cloud Foundation em janeiro de 2021, que deveriam incluir suporte e atualizações até 2026, com a opção de extensão por mais quatro anos. No entanto, após a compra da VMware, a Broadcom interrompeu o suporte a essas licenças perpétuas, direcionando os clientes para modelos de assinatura mais lucrativos. A Tesco argumenta que essa nova estratégia de preços a força a pagar valores excessivos por um software pelo qual já havia pago. A empresa afirma que a interrupção do suporte pode impactar suas operações, já que o software da VMware é fundamental para cerca de 40.000 cargas de trabalho em seus servidores, incluindo sistemas de caixa. Além disso, a Tesco incluiu a Computacenter como co-ré na ação. A situação é preocupante, pois a substituição do software VMware poderia ser custosa e arriscada, levando a mais interrupções nas operações. Outras empresas, como AT&T e Siemens, também apresentaram queixas semelhantes contra a Broadcom, que defende sua estratégia de assinatura como padrão da indústria.