(https://i.postimg.cc/m287jMpH/VMware.png) (https://postimages.org/)
Un aviso de seguridad reciente de Broadcom, ahora empresa propietaria de VMware, revela vulnerabilidades críticas que afectan a VMware vCenter Server y al entorno virtualizado que administra.
El aviso, VMSA-2024-0012, aborda tres vulnerabilidades críticas descubiertas en vCenter Server. Estas vulnerabilidades, clasificadas como CVE-2024-37079, CVE-2024-37080 y CVE-2024-37081, pueden ser aprovechadas por actores malintencionados para obtener acceso no autorizado a los sistemas vCenter Server, un componente crucial para administrar máquinas virtuales en Cloud Foundation y Plataformas vSphere.
El aviso de Broadcom reveló que CVE-2024-37079 y CVE-2024-37080 son fallas de desbordamiento de montón con una puntuación CVSS de 9,8. Hao Zheng y Zibo Li del equipo TianGong de Legendsec en Qi'anxin Group informaron sobre los problemas.
Estas fallas permiten a los piratas informáticos ejecutar código de forma remota al implementar el protocolo DCERPC, lo que indica un riesgo grave. Para su información, el entorno informático distribuido/llamadas a procedimientos remotos (DCERPC) es un protocolo de red que permite que los programas en una computadora ejecuten un procedimiento en otra, permitiendo que las aplicaciones accedan a servicios que se ejecutan en máquinas remotas como si fueran procedimientos locales. Un actor malintencionado puede desencadenar vulnerabilidades en vCenter Server enviando un paquete de red diseñado, lo que podría provocar la ejecución remota de código.
Otra vulnerabilidad, CVE-2024-37081 con una puntuación CVSS de 7,7, permite a los usuarios locales obtener control total de los dispositivos vCenter Server. Los vectores de ataque conocidos involucran a un usuario local con privilegios no administrativos que aprovecha estos problemas para elevar los privilegios a root en vCenter Server Appliance. Matei Badanoiu de Deloitte Rumaniafor informó sobre estos problemas.
VMware afirma que estas vulnerabilidades no han sido explotadas activamente. Aun así, no se puede pasar por alto la gravedad de ellas, considerando que potencialmente pueden explotarse de forma remota. Esto significa que los atacantes no necesariamente necesitan acceso físico a vCenter Server para lanzar un ataque.
Podría haber graves consecuencias para las organizaciones que confían en VMware vCenter Server para la gestión de infraestructura virtual. Los impactos potenciales incluyen compromiso de datos, interrupción de operaciones y movimiento lateral.
Broadcom recomienda parchear todas las instancias vulnerables, ya que no existen soluciones alternativas "viables" disponibles. El aviso de seguridad enfatiza la importancia de mantenerse alerta, implementar prácticas de seguridad sólidas y parchear rápidamente las vulnerabilidades para reducir el riesgo de un ciberataque exitoso.
Comentario de expertos
John Bambenek, presidente de Bambenek Consulting, comentó sobre el último desarrollo destacando los peligros de estas fallas de seguridad. "VMWare es un objetivo popular porque es una plataforma popular y con un exploit, no obtengo solo un activo, sino que tengo todos los activos bajo administración. Cada vez más, la infraestructura está virtualizada y VMWare es el líder de la industria en virtualización local. Si quisiera atacar una organización con ransomware y cerrarla rápidamente, me dirigiría a AD o a su entorno de hipervisor, dijo John".
Además, advirtió que "solo unas pocas personas necesitan acceder a vCenter y a los hipervisores en general. Deben estar aislados en VLAN administrativas o tener fuertes controles de acceso a la red para que solo los administradores puedan acceder a ellos. Esto significa que los atacantes primero tendrían que comprometer a esos administradores antes de explotar la vulnerabilidad. Como mínimo, estas interfaces nunca deberían ser accesibles desde Internet abierto".
Fuente:
HackRead
https://hackread.com/broadcom-patch-vmware-vcenter-server-vulnerabilities/