Más de 37.000 casos de VMware ESXi expuestos a Internet son vulnerables a CVE-2025-22224, un defecto crítico de escritura fuera de límites que se explota activamente en la naturaleza.

Esta exposición masiva está siendo reportada por la plataforma de monitoreo de amenazas The Shadowserver Foundation, que reportó una cifra de alrededor de 41.500 ayer.

Hoy, ShadowServer informa ahora que 37.000 siguen siendo vulnerables, lo que indica que ayer se arreglaron 4.500 dispositivos.

CVE-2025-22224 es una vulnerabilidad de desbordamiento de carga VCMI de gravedad crítica que permite a los atacantes locales con privilegios administrativos en el huésped de la VM escapar de la caja de arena y ejecutar código en el host como el proceso VMX.

Broadcom alertó a los clientes al respecto junto con otras dos fallas, CVE-2025-22225 y CVE-2025-22226, el martes 4 de marzo de 2025, informando que los tres estaban siendo explotados en ataques de día cero.

Las fallas fueron descubiertas por Microsoft Threat Intelligence Center, que observó su explotación como cero días durante un período no revelado. Además, aún no se ha compartido información sobre el origen de los ataques y los objetivos.

La Agencia de Seguridad de la Ciberseguridad y Infraestructura (CISA) ha dado a agencias federales y organizaciones estatales hasta el 25 de marzo de 2025, para aplicar las actualizaciones y mitigación disponibles o dejar de usar el producto.

La Fundación Shadowserver informa que la mayoría de los casos vulnerables se encuentran en China (4.400), seguidos de Francia (4.100), Estados Unidos (3.800), Alemania (2.800), Irán (2.800) y Brasil (2.200).

Sin embargo, debido al uso generalizado de VMware ESXi, un hipervisor popular utilizado para la virtualización en entornos de TI empresariales para la gestión de máquinas virtuales, el impacto es global.

Para obtener más información sobre las versiones de ESXi que fijan CVE-2025-22224, se recomienda a los usuarios consultar el boletín de Broadcom. Actualmente, no hay soluciones para este problema.

El proveedor también ha publicado una página de preguntas frecuentes para que los usuarios compartan recomendaciones de acción adicionales y detalles de impacto.

Fuente: https://www.bleepingcomputer.com/news/security/over-37-000-vmware-esxi-servers-vulnerable-to-ongoing-attacks/