VMware, Microsoft y más: Positive Technologies publica su lista negra de abril

Los expertos de Positive Technologies han clasificado once vulnerabilidades como las más relevantes en abril. Se han descubierto en productos de Microsoft, en los hipervisores VMware ESXi y Workstation, en el controlador Kubernetes Ingress NGINX y en el servidor Apache Tomcat. La mayoría de ellas permiten que un atacante obtenga privilegios de sistema o ejecute código arbitrario, a menudo incluso sin necesidad de autenticación.

La vulnerabilidad más crítica en el ecosistema de Microsoft es CVE-2024-30085 (CVSS 7.8), que afecta al controlador Windows Cloud Files Mini Filter. Debido a un desbordamiento de búfer en la zona de montón (heap) durante el procesamiento de mapas de bits, es posible tomar el control del sistema. Como medidas de protección, OGMA recomienda segmentar la red, aplicar el principio de privilegios mínimos y fortalecer la monitorización.

Otra vulnerabilidad, CVE-2025-24983 (CVSS 7.0), está relacionada con una condición de carrera (race condition) en el núcleo de Win32. Para escalar privilegios al nivel SYSTEM, el atacante solo necesita ejecutar una aplicación especialmente preparada. Tal como señala Feedly, se recomienda restringir los privilegios locales y supervisar cualquier intento sospechoso de elevación de privilegios.

La siguiente amenaza es CVE-2025-26633 (CVSS 7.0), una vulnerabilidad de bypass de seguridad en Microsoft Management Console. Permite inyectar un archivo MSC malicioso mediante phishing. CVECrowd aconseja bloquear archivos MSC y VHD en puertas de enlace de correo, servidores proxy y cortafuegos.

CVE-2025-24071 (CVSS 7.5) en el Explorador de archivos (File Explorer) abre la posibilidad de interceptar hashes NTLM a través de archivos LIBRARY-MS que contienen enlaces SMB. Al abrir dichos archivos, se puede iniciar un ataque de retransmisión de hash. FreeBuf recomienda habilitar la firma SMB y deshabilitar completamente NTLM si es posible.

Las vulnerabilidades CVE-2025-24993 y CVE-2025-24985 (ambas CVSS 7.8) en los sistemas de archivos NTFS y Fast FAT, respectivamente, permiten la ejecución de código arbitrario al montar discos VHD especialmente diseñados. La primera se debe a un desbordamiento de búfer y la segunda a un desbordamiento de tipo entero. Ambas permiten instalar software malicioso y avanzar en profundidad dentro de la red.

En la ecosistema de VMware, tres vulnerabilidades afectan a los hipervisores ESXi y Workstation. CVE-2025-22224 (CVSS 9.3) es un error de tipo TOCTOU que permite ejecutar código en el host mediante la interfaz de la máquina virtual. CVE-2025-22225 (CVSS 8.2) posibilita escribir código arbitrario en el área del núcleo. CVE-2025-22226 (CVSS 7.1) está relacionada con una fuga de memoria desde el proceso VMX. Según Shadowserver, hay más de 40 000 nodos VMware ESXi vulnerables.

El desarrollador recomienda actualizar VMware Workstation a la versión 17.6.3, Fusion a la 13.6.3 e instalar los parches más recientes en todos los sistemas.

En la ecosistema de Kubernetes, la más crítica es CVE-2025-1974 (CVSS 9.8), una vulnerabilidad en Ingress NGINX Controller que permite ejecutar código arbitrario sin autenticación, usando inyección de configuración. Wiz detectó más de 6500 clústeres expuestos a este ataque. Kubernetes recomienda actualizar y también deshabilitar la verificación del Admission Controller y del Validating Admission Controller.

CVE-2025-24813 (CVSS 9.8) en Apache Tomcat permite al atacante cargar archivos maliciosos mediante solicitudes PUT parciales. La posterior deserialización desencadena la ejecución de código. Una investigación de Rapid7 mostró que unos 200 servidores con acceso público son vulnerables. Los desarrolladores recomiendan actualizar a las versiones 9.0.99, 10.1.35, 11.0.3 o superiores.