Una crítica vulnerabilidad detectada en VMware ESXi, identificada como CVE-2025-22224, continúa afectando a más de 37.000 instancias expuestas a internet, dejando estas infraestructuras virtualizadas en peligro de ser explotadas activamente. El fallo, que permite a atacantes evadir el entorno virtualizado y ejecutar código malicioso en el host, ha sido clasificado como crítico y ya ha sido explotado en escenarios reales.
De acuerdo con datos recientes de la organización de monitoreo de amenazas The Shadowserver Foundation, el número de servidores vulnerables ha disminuido de los 41.500 inicialmente reportados a 37.000, reflejando que al menos 4.500 sistemas han sido parcheados en respuesta a la alerta.
La vulnerabilidad CVE-2025-22224 es un desbordamiento de memoria en el heap de VCMI, potencialmente comprometiendo por completo la infraestructura virtualizada. Este defecto permite que atacantes con privilegios administrativos en una máquina virtual (VM guest) ejecuten código malicioso a nivel de proceso VMX del host.
Broadcom, actual propietaria de VMware, emitió un aviso el 4 de marzo de 2025 advirtiendo sobre la explotación activa de esta vulnerabilidad, junto con otros dos fallos adicionales, CVE-2025-22225 y CVE-2025-22226. Todos estos fallos han sido categorizados como vulnerabilidades «zero-day», indicando que los ataques comenzaron antes de que se publicaran los detalles y existiera un parche de seguridad.
El Centro de Inteligencia de Amenazas de Microsoft fue el primero en identificar estas vulnerabilidades y ha estado monitoreando su explotación. Sin embargo, hasta ahora, no se han revelado detalles sobre los atacantes ni sus posibles objetivos.
CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU., ha establecido un plazo hasta el 25 de marzo de 2025 para que las agencias federales y organizaciones estatales apliquen los parches disponibles o dejen de usar el producto.
El informe de Shadowserver revela que los servidores ESXi vulnerables están distribuidos en varias regiones, destacando China con 4.400 servidores, seguida por Francia con 4.100, Estados Unidos con 3.800, y Alemania e Irán con 2.800 cada uno. Brasil cuenta con 2.200 servidores vulnerables. Dado el uso extendido de VMware ESXi en entornos empresariales, el impacto de esta vulnerabilidad es de alcance global.
Actualmente, no existen mitigaciones o soluciones alternativas; la única protección efectiva es aplicar los parches de seguridad de Broadcom. La compañía ha publicado un boletín de seguridad y una página de preguntas frecuentes para asistir a los administradores de sistemas en la implementación de estas críticas actualizaciones.
Esta situación subraya la importancia de mantener actualizados los entornos virtualizados. Una vulnerabilidad como CVE-2025-22224 puede convertirse en un punto crítico para ataques de ransomware, exfiltración de datos o espionaje corporativo, resaltando la necesidad imperativa de una rápida y efectiva respuesta de seguridad por parte de las organizaciones potencialmente afectadas.
