Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

10 marzo 2025
Noticias, Seguridad
3 minutos de lectura

Más de 37.000 servidores VMware ESXi siguen expuestos a ataques activos

Antonio

Una grave vulnerabilidad detectada en VMware ESXi, identificada como CVE-2025-22224, sigue afectando a más de 37.000 instancias expuestas a internet, lo que las deja en riesgo de explotación activa. La vulnerabilidad, que permite a atacantes escapar del entorno virtualizado y ejecutar código malicioso en el host, ha sido catalogada como crítica y se encuentra bajo explotación en el mundo real.

Exposición masiva a ataques

Según datos recientes de la plataforma de monitoreo de amenazas The Shadowserver Foundation, el número de servidores vulnerables ha disminuido en los últimos días, pasando de 41.500 instancias reportadas inicialmente a 37.000. Esto indica que al menos 4.500 sistemas han sido parcheados en respuesta a la alerta de seguridad.

La vulnerabilidad CVE-2025-22224 es un fallo de desbordamiento de memoria en el heap de VCMI, que permite a atacantes con privilegios administrativos en una máquina virtual (VM guest) ejecutar código malicioso en el host a nivel de proceso VMX, comprometiendo por completo la infraestructura de virtualización.

Advertencias y recomendaciones de seguridad

La compañía Broadcom, propietaria de VMware, emitió un aviso el pasado 4 de marzo de 2025, en el que advertía a los clientes sobre la explotación activa de esta vulnerabilidad junto con otros dos fallos, CVE-2025-22225 y CVE-2025-22226. Según Broadcom, todas estas vulnerabilidades estaban siendo explotadas como «zero-day», lo que significa que los ataques comenzaron antes de que se hicieran públicos los detalles y existiera un parche de seguridad.

El Centro de Inteligencia de Amenazas de Microsoft fue el primero en detectar estas vulnerabilidades y ha estado monitoreando su explotación sin que, hasta el momento, se hayan revelado detalles sobre los atacantes ni sus objetivos específicos.

Ante la magnitud de la amenaza, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha dado plazo a agencias federales y organizaciones estatales hasta el 25 de marzo de 2025 para aplicar los parches disponibles o dejar de utilizar el producto.

Distribución de los servidores vulnerables

El informe de Shadowserver indica que los servidores ESXi vulnerables se encuentran distribuidos en varias regiones del mundo, con la siguiente distribución geográfica:

China: 4.400 servidores
Francia: 4.100 servidores
Estados Unidos: 3.800 servidores
Alemania: 2.800 servidores
Irán: 2.800 servidores
Brasil: 2.200 servidores

Dado que VMware ESXi es uno de los hipervisores más utilizados en entornos empresariales para la gestión de máquinas virtuales, el impacto de esta vulnerabilidad es de alcance global.

No hay soluciones temporales

Actualmente, no existen soluciones alternativas o mitigaciones para esta vulnerabilidad. La única forma de proteger los sistemas es aplicar los parches de seguridad proporcionados por Broadcom. Para más información sobre las versiones de ESXi que corrigen CVE-2025-22224, Broadcom ha publicado un boletín de seguridad en su sitio web, además de una página de preguntas frecuentes para ayudar a los administradores de sistemas a tomar las medidas necesarias.

La urgencia de la situación subraya la importancia de mantener actualizados los entornos virtualizados, ya que una vulnerabilidad en VMware ESXi puede convertirse en un punto de entrada crítico para ataques de ransomware, exfiltración de datos o espionaje corporativo.