VMware ha corregido una vulnerabilidad crítica de escritura out-of-bound (CVE-2023-34048) y un fallo de divulgación de información de gravedad moderada (CVE-2023-34056) en vCenter Server, su popular software de gestión de servidores.
El aviso de gravedad crítica de VMware describió el fallo como un problema de escritura fuera de los límites en la implementación del protocolo DCE/RPC. La empresa marcó el fallo con una puntuación de gravedad CVSS de 9,8/10.
VMware indica que ya se puede acceder a los parches de seguridad que solucionan este problema a través de los mecanismos de actualización estándar de vCenter Server. Debido a la naturaleza crítica de este fallo, VMware también ha publicado parches para múltiples productos que han llegado al final de su vida útil y que ya no reciben soporte activo.
vCenter Server es el eje central de gestión de la suite vSphere de VMware, y ayuda a los administradores a gestionar y supervisar la infraestructura virtualizada.
Productos afectados
VMware ha declarado que no existen soluciones para mitigar el fallo y que se han puesto a disposición actualizaciones de seguridad en las siguientes versiones del software:
- VMware vCenter Server 8.0 (8.0U1d o 8.0U2)
- VMware vCenter Server 7.0 (7.0U3o)
- VMware Cloud Foundation 5.x y 4.x
Dada la criticidad del fallo y la falta de mitigaciones temporales, el proveedor de servicios de virtualización mención que también está poniendo a disposición un parche para vCenter Server 6.7U3, 6.5U3 y VCF 3.x.
Acerca de CVE-2023-34048 y CVE-2023-34056
CVE-2023-34048 permite a un atacante con acceso de red a un dispositivo virtual vCenter Server vulnerable desencadenar una escritura fuera de los límites que puede conducir a la ejecución remota de código. La vulnerabilidad ha sido notificada por Grigory Dorodnov, de la entidad de seguridad Trend Micro Zero Day Initiative, y no hay indicios de que esté siendo explotada.
Por otra parte, Oleg Moshkov, de la entidad Deiteriy Lab OÜ, ha informado de una segunda vulnerabilidad (CVE-2023-34056) en VMware vCenter Server. Se trata de una vulnerabilidad de divulgación parcial de información que podría permitir a un atacante con privilegios no administrativos acceder a datos no autorizados.
Ambas vulnerabilidades afectan también a los productos que contienen vCenter Server, es decir, vSphere y Cloud Foundation (VCF).
«Debido a la gravedad crítica de esta vulnerabilidad y a la falta de solución, VMware ha puesto a disposición general un parche para vCenter Server 6.7U3, 6.5U3 y VCF 3.x. Por las mismas razones, VMware ha puesto a disposición parches adicionales para vCenter Server 8.0U1», dijo la compañía.
También están disponibles los parches de vCenter Server asíncrono para las implantaciones de VCF 5.x y 4.x.
«Puede haber otras mitigaciones disponibles en su organización dependiendo de su postura de seguridad, estrategias de defensa en profundidad y configuraciones de firewalls perimetrales y firewalls de dispositivos. Todas las organizaciones deben decidir por sí mismas si confían en esas protecciones», añadió la empresa.
Se requiere tomar acciones inmediatas
En base a la información proporcionada anteriormente, se requiere que los administradores de infraestructura realicen el upgrade a la brevedad posible para mitigar los riesgos asociados.
Además, VMware insta a los administradores a controlar estrictamente el acceso del perímetro de red a los componentes e interfaces de gestión de vSphere, incluidos los componentes de almacenamiento y red.
Los puertos de red específicos vinculados a la explotación potencial en ataques dirigidos a esta vulnerabilidad son 2012/tcp, 2014/tcp y 2020/tcp.
En junio, VMware parcheó múltiples fallos de seguridad de alta gravedad de vCenter Server, mitigando los riesgos de ejecución de código y de elusión de autenticación.
Esa misma semana, VMware solucionó un día cero de ESXi explotado por hackers estatales chinos en ataques de robo de datos y alertó a los clientes de un fallo crítico activamente explotado en la herramienta de análisis Aria Operations for Networks, que ya ha sido parcheado.
Referencia:
https://www.vmware.com/security/advisories/VMSA-2023-0023.html