Broadcom ha sacudido el sector tecnológico con la publicación de su boletín de seguridad VMSA-2025-0013, que revela cuatro vulnerabilidades críticas en VMware ESXi y VMware Tools para Windows. Estas fallas, con puntuaciones CVSS entre 7,1 y 9,3, permiten a los atacantes ejecutar código en el hipervisor desde una máquina virtual comprometida, fenómeno conocido como «escape de VM». Esta situación se agrava por la actual política de Broadcom: solo quienes tienen un contrato de soporte vigente pueden acceder a los parches, a pesar de poseer licencias perpetuas adquiridas.
David Carrero, experto en infraestructura cloud y cofundador de Stackscale, critica duramente esta medida: «Es inaceptable que una vulnerabilidad crítica no pueda corregirse sin pagar una cuota adicional. Esta política convierte el software empresarial en un riesgo sistémico».
Las vulnerabilidades afectan a diversas versiones de VMware ESXi y obligan a actualizaciones específicas. VMware Tools para Windows también está comprometido, requiriendo actualizaciones urgentes que no afectan a sistemas Linux y macOS.
Estas vulnerabilidades fueron descubiertas durante el evento Pwn2Own Berlin 2025 e incluyen fallos como desbordamientos de enteros y fugas de memoria, que permiten el compromiso del host si el atacante tiene privilegios de administrador en la VM.
La estrategia de Broadcom ha levantado críticas al restringir el acceso a parches solo a clientes con contratos de soporte actualizados. Carrero considera que esto es un precedente peligroso para la ciberseguridad corporativa, ya que limita la capacidad de aplicar parches críticos.
Para los administradores de sistemas, es esencial auditar urgentemente las versiones afectadas y planificar migraciones o renovaciones de soporte. Además, deben considerar la posibilidad de cambiar a hipervisores con políticas de actualización más favorables.
En conclusión, el VMSA-2025-0013 no solo destaca problemas técnicos significativos, sino también una creciente preocupación por las políticas comerciales de Broadcom. La ciberseguridad se transforma en un privilegio y no en una responsabilidad compartida, lo que lleva a los administradores a reconsiderar su relación con VMware y la protección de su infraestructura.
Más información y referencias en Noticias Cloud.
