CCN-CERT AV 17/21 Vulnerabilidad en VMware

Cabecera
separador
Vulnerabilidad en VMware

Fecha de publicación: 26/05/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de una vulnerabilidad que afecta a productos VMware.

VMware, popular software para la virtualización de sistemas operativos, ha publicado un aviso de seguridad que incluye actualizaciones para el producto VMware vCenter Server, herramienta utilizada para administrar máquinas virtuales, múltiples hosts ESXi y todos los componentes dependientes desde una única ubicación centralizada. Este fallo, reportado a la compañía por el analista de ciberseguridad Ricter Z, permite la ejecución de código malicioso de forma remota (RCE) por atacantes no autenticados en intrusiones de baja complejidad y que no requieren la interacción del usuario. Cabe destacar que no es la única vulnerabilidad de este tipo reportada por la compañía este año. A principios de año, se solucionó una vulnerabilidad de ejecución remota de código en un complemento de vCenter Server (CVE-2021-21972) utilizada para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja el servidor.

La detección de esta vulnerabilidad se reportó de forma privada a la compañía, por lo que los detalles técnicos expuestos a continuación corresponden a la información que se ha hecho pública de la misma.

  • CVE-2021-21985: vulnerabilidad que se sirve de un error de validación de entrada en el complemento Virtual SAN (vSAN), habilitado de forma predeterminada en vCenter Server. Este error permite ejecutar código de forma remota con privilegios ilimitados en el sistema operativo que aloja vCenter Server aprovechando el acceso de red al puerto 443, ya que éste se encuentra expuesto a Internet.

La base de datos del NIST no ha registrado la vulnerabilidad descrita por el momento, por lo tanto, no se le ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, VMware ha calificado esta vulnerabilidad como crítica. Actualmente, no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.

Recursos afectados:

La vulnerabilidad reportada afecta a las siguientes versiones:

  • vCenter Server versión 7.0.
  • vCenter Server versión 6.7.
  • vCenter Server versión 6.5.

Solución a la vulnerabilidad:

VMware ya ha publicado los correspondientes parches para corregir la vulnerabilidad en el producto afectado. Se puede descargar la versión correspondiente mediante los siguientes enlaces:

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por otro lado, desde la compañía se ha publicado una solución para desconectar los complementos vulnerables. Se destaca que esta desactivación dará como resultado una pérdida de las capacidades de administración y monitorización. Por último, otra práctica de buen uso, sería auditar los sistemas en busca de indicadores de compromiso en todos aquellos servidores vCenter a los que se pueda acceder directamente desde Internet, implementando además medidas para controlar la seguridad perimetral (como pueden ser firewalls o listas de control de acceso) en las interfaces de administración de su infraestructura.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT