VMware (ahora propiedad de Broadcom) ha revelado múltiples fallos de seguridad que afectan a su plataforma Avi Load Balancer (anteriormente NSX Advanced Load Balancer). La vulnerabilidad de mayor impacto permite a atacantes remotos eludir los controles de autenticación y extraer información confidencial de la base de datos mediante inyecciones SQL ciegas, sin necesidad de interacción del usuario.
Veredicto Analítico
- Estado: Confirmado. Parches oficiales publicados por Broadcom. Actualmente no se ha observado código de explotación público (PoC) ni actividad maliciosa en la práctica.
- Confianza: Absoluta. Validado mediante el aviso de seguridad oficial del fabricante (VMSA-2025-0011).
- Riesgo para SOC, TDIR y Redes: Crítico. Dado que los balanceadores de carga como Avi operan en el borde de la red (perímetro) enrutando tráfico hacia aplicaciones críticas, eludir la autenticación en este nodo central expone la infraestructura de entrega de aplicaciones completa, facilitando el acceso a bases de datos y credenciales de backend.
- Urgencia Operativa: Alta. No existen medidas de mitigación o soluciones alternativas (workarounds) viables para el fallo principal (CVE-2025-22217). La aplicación de los parches es el único método de remediación.
- Base del Veredicto: Existencia de fallos de inyección SQL ciega no autenticada en los controladores, sumado a vulnerabilidades de escalada de privilegios y exposición de credenciales en los registros, creando una cadena de ataque altamente peligrosa en entornos poco segmentados.
Hallazgos Clave
- Vulnerabilidad Principal (CVE-2025-22217): Inyección SQL ciega no autenticada con una puntuación CVSS de 8.6. Se origina por una sanitización de entrada inadecuada en los componentes del controlador.
- Cadena de Explotación Potencial: Los atacantes pueden combinar la evasión de autenticación (vía SQLi) con el CVE-2024-22264 (Escalada de privilegios a root) para tomar el control total del sistema host, y utilizar el CVE-2024-22266 para extraer credenciales en la nube filtradas en los registros del sistema.
- Versiones Afectadas (CVE-2025-22217): Versiones 30.1.1, 30.1.2, 30.2.1 y 30.2.2. Las ramas 21.x y 22.x no están afectadas por esta vulnerabilidad específica (aunque sí por las de menor severidad).
Análisis Técnico: Mecanismo de Explotación
El escenario de ataque se desarrolla apuntando directamente a la infraestructura de control perimetral:
- Reconocimiento: El atacante localiza la interfaz de red del controlador del balanceador de carga Avi.
- Inyección (Fase 1): Aprovechando la falta de validación de entradas, el atacante envía consultas SQL maliciosas finamente elaboradas hacia el controlador. Al ser una inyección “ciega” (Blind SQLi), el atacante infiere la estructura y los datos de la base de datos subyacente analizando los tiempos de respuesta o los cambios de comportamiento del servidor, sin necesidad de credenciales previas.
- Escalada y Exfiltración (Fase 2): Con el acceso obtenido, el atacante puede abusar de configuraciones vulnerables adicionales. Si logra acceso administrativo, puede crear o modificar archivos como usuario root a nivel del sistema operativo host y recolectar credenciales de servicios en la nube (AWS, Azure, GCP) que el sistema haya guardado en texto plano en sus bitácoras.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
- Ejecución / Evasión de Defensas: Inyección SQL (T1190 / relacionado con manipulación de API o web).
- Escalada de Privilegios: Explotación para Escalada de Privilegios (Exploitation for Privilege Escalation – T1068).
- Robo de Credenciales: Credenciales en Archivos (Credentials in Files – T1081) explotando la divulgación en registros del sistema.
Recomendaciones Operativas
Para Administración de Redes, Infraestructura y TI (Acción Prioritaria)
- Ruta de Parcheo Estricta: Aplicar los parches inmediatamente. Para sistemas en la versión 30.1.1, es obligatorio actualizar primero a la versión 30.1.2 antes de aplicar el parche acumulativo 2p2.
- Aislamiento de la Interfaz de Gestión: Restringir estrictamente el acceso a nivel de red hacia las interfaces de administración de los controladores Avi. Estas solo deben ser accesibles desde segmentos de red administrativos altamente confiables o redes Out-of-Band (OOB).
- Rotación de Credenciales: Revisar proactivamente los registros del sistema para identificar si credenciales de conexión a la nube han estado expuestas en texto plano (CVE-2024-22266) y proceder a rotar de inmediato cualquier secreto (API keys, tokens) potencialmente comprometido.
Desglose Detallado de Vulnerabilidades
- CVE-2025-22217 (CVSS 8.6 – Alta): Inyección SQL ciega no autenticada. Afecta versiones 30.1.x y 30.2.x. Versiones corregidas: 30.1.2-2p2, 30.2.1-2p5, 30.2.2-2p2.
- CVE-2025-41233 (CVSS 6.8 – Media): Inyección SQL ciega autenticada. Afecta a las ramas 30.x y 22.x. Requiere privilegios elevados en la red para su activación.
- CVE-2024-22264 (CVSS 7.2 – Alta): Escalada de privilegios. Permite a un administrador crear, modificar o eliminar archivos como usuario root en el host. Afecta a las ramas 30.xx y 22.1.x. Versiones corregidas: 30.2.1, 22.1.6.
- CVE-2024-22266 (CVSS 6.5 – Media): Divulgación de información. Exposición de credenciales de la nube en texto plano en los registros. Afecta a la rama 30.xx. Versión corregida: 30.2.1.




