La detección de una seria vulnerabilidad en VMware ESXi, identificada como CVE-2025-22224, ha generado preocupación en la comunidad cibernética global. Conocida por permitir a atacantes evadir el entorno virtualizado y ejecutar código malicioso en el host, la falla ha sido calificada de crítica y continúa amenazando a más de 37.000 instancias expuestas a internet. A pesar de que el número inicial de servidores vulnerables era de 41.500, la respuesta a las alertas ha resultado en la protección de al menos 4.500 sistemas.
Esta vulnerabilidad específica de desbordamiento de memoria en el heap de VCMI otorga a atacantes con privilegios administrativos la capacidad de comprometer completamente la infraestructura de virtualización mediante la ejecución de código a nivel de proceso VMX en el host. Broadcom, la compañía detrás de VMware, ha señalado que este fallo, junto con otros dos identificados como CVE-2025-22225 y CVE-2025-22226, están siendo explotados como «zero-day», lo cual destaca la gravedad de los ataques antes de que se hicieran públicos los detalles y existieran parches de seguridad.
El Centro de Inteligencia de Amenazas de Microsoft fue el primero en advertir sobre estas vulnerabilidades, aunque se desconoce la identidad y los objetivos específicos de los atacantes. A raíz de este panorama amenazante, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha establecido como fecha límite el 25 de marzo de 2025 para que las agencias federales y organizaciones estatales implementen los parches correspondientes o descontinúen el uso del producto afectado.
En cuanto a la distribución de los servidores ESXi vulnerables, el informe de Shadowserver revela que China, Francia y Estados Unidos son los países con mayor número de instancias afectadas, con 4.400, 4.100 y 3.800 servidores, respectivamente. Alemania, Irán y Brasil siguen en la lista con cantidades significativas de sistemas en riesgo.
La importancia de actualizar los sistemas es crucial, ya que no existen mitigaciones o soluciones temporales para esta falla. Broadcom ha emitido un boletín de seguridad detallado y una página de preguntas frecuentes para guiar a los administradores en la aplicación de los parches necesarios. Dado que VMware ESXi es uno de los hipervisores más utilizados en entornos empresariales, el potencial de esta vulnerabilidad como punto de entrada para ataques de ransomware y espionaje corporativo es significativo. La situación subraya la necesidad de mantener actualizadas las infraestructuras virtualizadas para prevenir posibles impactos devastadores en el entorno empresarial digital.
