![]() |
||
ALERTA | ||
Vulnerabilidades en VMWareFecha de publicación: 17/03/2020 Nivel de peligrosidad: CRÍTICO La Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa del lanzamiento de actualizaciones de seguridad que corrigen vulnerabilidades críticas y altas en productos VMware. VMWare ha publicado el aviso de seguridad VMSA-2020-0004.1 donde indican que los productos VMware Horizon Client, VMRC, VMware Workstation y Fusion presentan vulnerabilidades graves de elevación de privilegios y del tipo use-after-free. VMWare ya ha publicado los correspondientes parches para corregir estas vulnerabilidades en los productos afectados. A continuación, se detallan los tres CVEs asignados a las vulnerabilidades: CVE-2020-3947: Vulnerabilidad del tipo use-after-free (uso de memoria previamente liberada) ubicada en el servicio vmnetdhcp de Windows, que se usa para asignar direcciones IP a las máquinas virtuales a través del protocolo DHCP. Una explotación exitosa de este problema puede llevar a la ejecución de código en el host desde las máquinas virtuales o puede permitir a un atacante crear una condición de denegación de servicio sobre vmnetdhcp, que se ejecuta en la máquina host. VMware ha evaluado la gravedad de este problema como crítica con una puntuación de 9.3 (CVSSv3). CVE-2020-3948: Las máquinas virtuales de Linux que se ejecutan en VMware Workstation y Fusion contienen una vulnerabilidad de escalada de privilegios locales debida a incorrecciones en los permisos de archivo. Hay que tener en cuenta que la explotación de este fallo solo es posible si la impresión virtual está habilitada en la máquina virtual, ya que no está habilitada de forma predeterminada en Workstation y Fusion. VMware ha evaluado la gravedad de este problema como alta con una puntuación de 7.8 (CVSSv3). CVE-2019-5543: Se ha descubierto que los productos para Windows, VMware Horizon Client, VMRC y Workstation, contienen una carpeta con permisos de escritura donde se encuentran los archivos de configuración para el servicio de arbitraje USB de VMware. Un usuario local en el sistema donde está instalado el software puede explotar este problema para ejecutar comandos como cualquier otro usuario. VMware ha evaluado la gravedad de este problema como alta con una puntuación de 7.3 (CVSSv3). Por el momento no se tiene conocimiento de la existencia de pruebas de concepto o exploits disponibles sobre estas vulnerabilidades, ni reportes de su explotación activa por parte de ciberdelincuentes. Recursos afectados:
Solución a la vulnerabilidad: VMWare ha publicado las siguientes actualizaciones para cada producto afectado:
Recomendaciones: El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Referencias:
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: Síganos en: ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas. --------------------- ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
||
© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID |
- CCN-CERT
- Gestió d'Incidents
- Red Nacional de SOC
- Formació
- Guies
- Index de Guies
- Sèries completas
- Guies sense suport
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 2000 Organismo de Certificación
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público
- Glossari de termes (CCN-STIC 401)
- Sèrie 800 (ENS)
- Últimes guies CCN-STIC
- Informes
- Solucions
- ENS
- Seguretat al dia
- Comunicació
- Comunicats CCN-CERT
- Jornades STIC
- Vídeo resum XI Jornades
- Vídeo resum X Jornades
- X Jornadas STIC CCN-CERT
- IX JORNADES DE SEGURETAT TIC DEL CCN-CERT
- I JORNADE STIC CCN-CERT
- II JORNADES DE SEGURETAT TIC DEL CCN-CERT
- III JORNADES DE SEGURETAT TIC DEL CNN-CERT
- IV JORNADE DE SEGURETAT TIC DEL CCN-CERT
- V JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VI JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VIII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- Vídeos
- Capacitats del CCN 2018-2019
- Aproximació espanyola a la ciberseguretat. CCN
- Vídeo compartir amenaces
- Vídeo desè aniversari
- Vídeo detecció i intercanvi
- Video presentació
- Centre Criptològic Nacional: 15 anys enfortint la ciberseguretat nacional
- Claus de el Centre Criptològic Nacional per a l'any 2020 en matèria de ciberseguretat
- Encuentro Sector Salud
- Informe d'Activitat del CCN
- Articles i reportatges
- Decàleg de Ciberseguretat
- Mes Europeo de la Ciberseguridad
- Registre