Más de 17,000 instalaciones de ESXi VMware en todo el mundo están en riesgo de una vulnerabilidad severa entera-sobreflujo rastreada como CVE-2025-41236 (CVSS 9.3), los investigadores de ciberseguridad advierten.
Esta vulnerabilidad crítica, marcada por primera vez en julio, ha provocado llamadas urgentes para parches, pero los últimos resultados del escaneo sugieren que el progreso sigue siendo lento, y miles de sistemas aún no se han eclipsado.
La Fundación Shadowserver, en asociación con el gobierno del Reino Unido, incorporó la detección dirigida para CVE-2025-41236 en su escaneo global diario el 19 de julio de 2025.
El escaneo inaugural identificó las asombrosas 17.238 IPs únicas que ejecutan versiones vulnerables de ESXI, una plataforma de virtualización popular utilizada en entornos empresariales.
Para el 10 de agosto, el número de servidores no parpados solo había disminuido marginalmente a 16,330, subrayando un ritmo de remediación alarmantemente lento a pesar de las advertencias abiertas y la naturaleza crítica de esta amenaza.
VMware ESXI Vulnerabilidad-CVE-2025-41236
La distribución geográfica de los sistemas expuestos resalta la escala del desafío. Francia, China, Estados Unidos y Alemania encabezan la lista de los países más afectados, cada uno que alberga cientos o miles de instancias de ESXI vulnerables.
Servidores expuestos
Otras regiones con exposición significativa incluyen Rusia, los Países Bajos y Brasil. La situación presenta un mayor riesgo de empresas, gobiernos y proveedores de servicios en la nube que dependen de ESXi para la virtualización.
Los atacantes capaces de explotar esta vulnerabilidad podrían obtener control sobre la infraestructura central, potencialmente interrumpiendo los sistemas críticos a escala.
CVE-2025-41236 es un error entero-superflujo en la interfaz de administración HTTP de VMware ESXI. Clasificado 9.3 de 10 en la escala CVSS, permite a los atacantes remotos no autenticados que ejecutará código arbitrario, intensifican privilegios o entreguen ransomware dentro de entornos virtuales.
Los investigadores dicen que la explotación es trivial y podría permitir a los atacantes pivotar en centros de datos completos. La vulnerabilidad afecta a ESXI 7.x y algunas compilaciones de 8.x, con hazañas que circulan en foros subterráneos desde finales de julio.
Los equipos de seguridad han respondido lentamente, como se refleja en los números: los escaneos de Shadowserver durante tres semanas muestran una reducción de menos de 1,000 instancias vulnerables, apenas el 5% de los que están en riesgo. Los expertos atribuyen parches lentos a procesos de actualización complejos, problemas de tiempo de inactividad y mala conciencia.
Muchos hosts ESXi expuestos son directamente accesibles desde Internet, agravando el riesgo e invitando a campañas de explotación masiva.
Parche de inmediato: las organizaciones que ejecutan versiones ESXI sin parches deben implementar las actualizaciones de seguridad oficiales de VMware sin demora. Verifique la exposición: use herramientas de escaneo público o avisos de proveedores para verificar si sus entornos están expuestos. Restringir el acceso: limite las interfaces de gestión de Internet y aplique fuertes políticas de autenticación.
La existencia continua de miles de servidores ESXI sin parches expuestos a Internet indica una necesidad urgente de mejorar la higiene de seguridad y acelerar los esfuerzos de gestión de vulnerabilidades. Con los cibercriminales globales que buscan activamente explotar CVE-2025-41236, el tiempo es esencial.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
