Parche para vulnerabilidad crítica en VMware Cloud Director

VMWare ha publicado actualizaciones de seguridad para solucionar una vulnerabilidad crítica (CVE-2023-34060) en su producto VMware Cloud Director Appliance (VCD Appliance). VMware calificó la vulnerabilidad con un 9,8 en la versión 3 de CVSS, una de las calificaciones de gravedad más altas posibles en el sistema de puntuación. El descubrimiento se atribuyó a Dustin Hartle, ingeniero de sistemas de la empresa de servicios informáticos Ideal Integrations.

VMware Cloud Director service es una plataforma de distribución de servicios en varias nubes que permite particionar y administrar VMware Cloud on AWS, Google Cloud VMware Engine, Azure VMware Solution, Oracle Cloud VMware Solution o recursos de SDDC locales en grupos de recursos que puede poner a disposición de los tenants a través de un modelo de autoservicio a petición en un entorno de varios tenants aislado de forma segura.

La explotación exitosa de la vulnerabilidad podría permitir a un atacante no autenticado con acceso de red al dispositivo eludir las restricciones de inicio de sesión al autenticarse en el puerto 22 (SSH) o el puerto 5480 (consola de administración del dispositivo).

El fallo de seguridad sólo afecta a los dispositivos que ejecutan VCD Appliance 10.5 que se actualizaron previamente desde una versión anterior. La empresa también añadió que el CVE-2023-34060 no afecta a las nuevas instalaciones de VCD Appliance 10.5, a las implementaciones de Linux ni a otros dispositivos.

«Este bypass no está presente en el puerto 443 (proveedor de VCD e inicio de sesión de inquilino)”, menciona la entidad VMware. “En una nueva instalación de VMware Cloud Director Appliance 10.5, el bypass no está presente.»

Varias entidades de seguridad a nivel mundial se han pronunciado sobre este fallo de seguridad. El ingeniero de investigación de Tenable Scott Caveza dijo que la vulnerabilidad debería ser una «preocupación importante» para las organizaciones que utilizan VMware Cloud Director. Añadió que lo que es «más preocupante» acerca de la falla es la necesidad de que las organizaciones apliquen una remediación manual en cada dispositivo afectado.
«Si un atacante no autenticado puede saltarse la necesidad de credenciales para acceder a la interfaz SSH o a la consola de gestión, ese atacante puede modificar configuraciones, establecer acceso persistente para abusos posteriores y mucho más», dijo Caveza.

Jérôme Segura, director senior de inteligencia de amenazas de Malwarebytes, dijo que CVE-2023-34060 «es una vulnerabilidad importante de parchear para las empresas que actualizaron desde una versión anterior de VMware Cloud Director». Señaló que un análisis de Shodan mostró que hay miles de servidores que ejecutan VMware Cloud Director.

Pieter Arntz, analista de malware de Malwarebytes, añadió: «Esto podría potencialmente ponerse muy complicado, dada la facilidad de explotación y la falta de un parche fácil.»

 Solución para administradores

Aunque todavía no hay un parche disponible, el proveedor de virtualización ha proporcionado una solución manual para que los clientes vulnerables la apliquen hasta que se publique un parche. Según VMware, la solución consiste en un script que soluciona el problema sin necesidad de reiniciar el sistema ni el servicio.

Si se está ejecutando un grupo de servidores basado en Appliance que se ha actualizado desde una versión anterior de Cloud Director, se recomienda que ejecute el script que se detalla a continuación.

Nota:

  • Tras la aplicación de la solución, cualquier actualización o parche posterior de Cells a una compilación que no sea una versión fija revertirá la solución. Del mismo modo, la implantación de Cells a partir de una compilación no parcheada también provocará que no se aplique la solución. El script deberá ejecutarse en las nuevas celdas desplegadas.
  • La aplicación de esta solución no afecta a la funcionalidad.

Aunque el script realizará la verificación antes de realizar ningún cambio, si desea verificar manualmente si su celda está expuesta a la vulnerabilidad, puede ejecutar el siguiente comando:

egrep ‘unknown|sufficient|use_first_pass|optional pam_sss’ /etc/pam.d/system*

Si recibe alguna salida del comando anterior, deberá ejecutar el script. (ejemplo de salida a continuación):

Realice los siguientes pasos:

  1. Ejecute una conexión SSH a la celda primaria dentro del grupo de servidores.
  2. Descargue el script WA_CVE-2023-34060.sh adjunto al directorio /opt/vmware/vcloud-director/data/transfer/.
  3. Modifica los permisos del archivo para permitir su ejecución.

chown root:vcloud /opt/vmware/vcloud-director/data/transfer/WA_CVE-2023-34060.sh
chmod 740 /opt/vmware/vcloud-director/data/transfer/WA_CVE-2023-34060.sh

  1. Navegue hasta el directorio Transfer de la celda.

cd /opt/vmware/vcloud-director/data/transfer/

  1. Ejecute el script.

./WA_CVE-2023-34060.sh

Repita los pasos 4 y 5 en todas las celdas restantes del grupo de servidores.

Situación actual

Mediante una publicación, un portavoz de VMware menciona a la entidad TechTarget Editorial que la compañía no tenía conocimiento de ninguna explotación de los actores de amenazas en el momento de la prensa.

«VMware no ha registrado caso expotación ‘in the wild’ en este momento para CVE-2023-34060. Nuestro aviso de seguridad proporciona orientación que los clientes afectados pueden seguir para solucionar el problema y proteger su entorno, y un parche está a punto de llegar», dijo el portavoz. «La seguridad de nuestros clientes es una prioridad absoluta, y animamos a todos los clientes a inscribirse en nuestra lista de correo de avisos de seguridad para recibir la información más reciente.»

«Aunque el producto en sí (Cloud Director) no se ha convertido en un objetivo de ataque a gran escala en los últimos años, sabemos que las vulnerabilidades en los pilares de la virtualización como vCenter Server/ESXi han sido ampliamente explotadas, incluso en campañas de ransomware», dijo. «Del mismo modo, las vulnerabilidades en appliances (como vCloud Director) han sido ampliamente explotadas por una serie de actores de amenazas para el acceso inicial a las redes corporativas, así como para el despliegue de ransomware.»

Las vulnerabilidades de VMware han sido atacadas recientemente por diversos actores de amenazas. A mediados de junio, Mandiant, propiedad de Google Cloud, reveló que un agente chino había estado explotando un día cero en el hipervisor ESXi de VMware. Ese mismo mes, VMware confirmó que se estaba explotando una vulnerabilidad crítica en VMware Aria Operations for Networks.

Recomendaciones

  • VMware recomienda que las empresas que utilicen Cloud Director Appliance sigan sus directrices documentadas para mitigar el problema.
  • Se recomienda a los usuarios y administradores de las versiones afectadas del producto que supervisen el sitio web de VMWare en busca de actualizaciones y que actualicen a la última versión inmediatamente cuando esté disponible.

Referencia:

https://www.vmware.com/security/advisories/VMSA-2023-0026.html

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado