Más de 37,000 instancias de VMware ESXi expuestas a una vulnerabilidad crítica en explotación activa

La reciente vulnerabilidad CVE-2025-22224 afecta a miles de instancias de VMware ESXi, generando un riesgo significativo para la seguridad cibernética global.

Más de 37,000 instancias de VMware ESXi que están expuestas a Internet son vulnerables a la falla CVE-2025-22224, una vulnerabilidad crítica que se está explotando activamente en el medio. Esta situación ha sido reportada por la plataforma de monitoreo de amenazas The Shadowserver Foundation, que había señalado un total de aproximadamente 41,500 instancias vulnerables un día antes; hoy indica que quedan 37,000 aún sin parchear.

La vulnerabilidad CVE-2025-22224 permite a atacantes locales con privilegios administrativos en la máquina virtual escapar del entorno de aislamiento y ejecutar código en el host, utilizando un desbordamiento de búfer de tipo VCMI. Broadcom ha advertido a sus clientes sobre esta crítica falla, así como otras dos vulnerabilidades, CVE-2025-22225 y CVE-2025-22226, las cuales también están siendo explotadas en ataques como cero días.

La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) ha establecido el 25 de marzo de 2025 como fecha límite para que las agencias federales y estatales apliquen las actualizaciones disponibles o dejen de utilizar el producto. Entre las instancias vulnerables, la mayoría se encuentran distribuidas en países como China (4,400), Francia (4,100), Estados Unidos (3,800), Alemania (2,800), Irán (2,800) y Brasil (2,200).

El uso generalizado de VMware ESXi, un hipervisor popular en entornos de TI empresarial, implica que el impacto de esta vulnerabilidad es global, afectando a numerosas organizaciones alrededor del mundo. Broadcom ha publicado un boletín y una página de preguntas frecuentes donde los usuarios pueden encontrar información sobre las versiones de ESXi que corrigen la vulnerabilidad, aunque actualmente no existen soluciones alternativas para mitigar el problema.