Parches críticos vCenter Server

VMWARE

En el mundo actual, la seguridad de la infraestructura virtual es de suma importancia para las empresas que dependen de ella para sus operaciones. Sin embargo, las vulnerabilidades en plataformas como VMware vCenter Server pueden poner en riesgo toda la infraestructura.

Recientemente, VMware ha publicado un aviso de seguridad urgente para abordar tres vulnerabilidades críticas en vCenter Server. Estas vulnerabilidades, con puntuaciones CVSS de 9.8 y 7.8, permiten a los atacantes ejecutar código de forma remota y escalar privilegios en los sistemas afectados.

¿Qué versiones de vCenter Server están afectadas?

Las vulnerabilidades afectan a las versiones 7.0 y 8.0 de VMware vCenter Server, y a las versiones 4.x y 5.x de VMware Cloud Foundation. Sin embargo, las versiones de vSphere que han alcanzado el fin del soporte general no serán actualizadas.

¿Cuáles son las vulnerabilidades?

Las tres vulnerabilidades descubiertas son:

  • CVE-2024-37079: Permite la ejecución remota de código (RCE) a través de un desbordamiento de heap en el protocolo DCERPC.
  • CVE-2024-37080: Otra vulnerabilidad RCE similar a CVE-2024-37079, también a través de un desbordamiento de heap en el protocolo DCERPC.
  • CVE-2024-37081: Permite la escalada de privilegios a root en el dispositivo vCenter Server debido a una mala configuración de sudo.

CVE-2024-37079 y CVE-2024-37080: Ejecución remota de código (RCE) vía desbordamiento de heap en DCERPC

¿Qué es un desbordamiento de heap?

El desbordamiento de heap es un tipo de vulnerabilidad de software que se produce cuando un programa escribe más datos en un área de memoria de lo que está diseñada para contener. Esto puede corromper otros datos en la memoria o incluso permitir que un atacante ejecute su propio código.

¿Cómo funciona el ataque RCE en vCenter Server?

En el caso de las vulnerabilidades CVE-2024-37079 y CVE-2024-37080, el atacante envía un paquete de red especialmente diseñado al servidor vCenter Server. Este paquete contiene datos malformados que provocan un desbordamiento de heap en el protocolo DCERPC.

Al aprovecharse de este desbordamiento, el atacante puede ejecutar código arbitrario en el servidor vCenter Server. Esto le da al atacante control total sobre el servidor, lo que le permite robar datos, instalar malware o interrumpir servicios críticos.

CVE-2024-37081: Escalada de privilegios a root en vCenter Server

¿Qué es la escalada de privilegios?

La escalada de privilegios es un tipo de ataque en el que un atacante obtiene acceso a un nivel de privilegio más alto en un sistema informático. En el caso de la vulnerabilidad CVE-2024-37081, un atacante puede escalar sus privilegios a root en el dispositivo vCenter Server.

¿Cómo funciona el ataque de escalada de privilegios en vCenter Server?

La vulnerabilidad CVE-2024-37081 se debe a una mala configuración de sudo en vCenter Server. Sudo es una herramienta que permite a los usuarios ejecutar comandos con privilegios de root.

La mala configuración de sudo en este caso permite a un usuario local autenticado ejecutar comandos como root sin la contraseña de root. Esto le da al atacante acceso completo al sistema, lo que le permite realizar acciones dañinas.

¿Qué se recomienda hacer?

VMware no ha identificado soluciones alternativas dentro del producto para estas vulnerabilidades, por lo que se recomienda aplicar las actualizaciones lo antes posible.

  • Las versiones 8.0 U2d y 8.0 U1e corrigen las dos vulnerabilidades RCE.
  • La versión 7.0 U3r corrige las tres vulnerabilidades.

Es importante seguir el proceso estándar de parcheo

  1. Descarga las actualizaciones desde el sitio web de VMware.
  2. Sigue las instrucciones de instalación proporcionadas por VMware.
  3. Prueba las actualizaciones en un entorno de prueba antes de implementarlas en producción.

Impacto potencial de las vulnerabilidades

Las vulnerabilidades descubiertas en vCenter Server pueden tener un impacto significativo en las organizaciones que dependen de esta plataforma para gestionar sus entornos virtuales. Un atacante que explote con éxito estas vulnerabilidades podría:

  • Ejecutar código de forma remota (RCE) en el servidor vCenter Server. Esto podría permitirle al atacante tomar el control total del servidor, acceder a datos confidenciales, instalar malware o interrumpir servicios críticos.
  • Escalar privilegios a root en el servidor vCenter Server. Esto le daría al atacante acceso completo a todos los recursos del sistema, lo que podría permitirle realizar acciones aún más dañinas.
  • Acceder a datos confidenciales, como credenciales de usuario o información de tarjetas de crédito. Estos datos podrían ser utilizados para realizar ataques de phishing, robo de identidad o fraude financiero.
  • Interrumpir servicios críticos, como la virtualización de escritorios o las aplicaciones empresariales. Esto podría causar pérdidas de productividad y daños financieros a la organización.

Recomendaciones adicionales para la protección de vCenter Server

Además de aplicar las actualizaciones de seguridad lo antes posible, las organizaciones también deben tomar las siguientes medidas para proteger sus entornos vCenter Server:

Preguntas frecuentes sobre las vulnerabilidades críticas de vCenter Server

¿Existe alguna solución alternativa para estas vulnerabilidades?

  • VMware no ha identificado soluciones alternativas viables dentro del producto para ninguna de las tres vulnerabilidades. Por lo tanto, la única forma de protegerse es aplicar las actualizaciones.

¿Qué más puedo hacer para proteger mi entorno vCenter Server?

  • Además de aplicar las actualizaciones, puedes tomar las siguientes medidas:
    • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
    • Utilizar contraseñas seguras y complejas para las cuentas de usuario de vCenter Server.
    • Habilitar la autenticación de dos factores (2FA) para las cuentas de usuario de vCenter Server.
    • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.
    • Mantenerse informado sobre las últimas amenazas y vulnerabilidades de seguridad.

¿Ha habido alguna explotación conocida de estas vulnerabilidades?

  • Hasta el momento, VMware no ha informado de ninguna explotación activa de estas vulnerabilidades. Sin embargo, esto no significa que no sean un riesgo. Es importante aplicar las actualizaciones de seguridad lo antes posible para reducir el riesgo de ser atacado.

¿Qué pasa si no puedo actualizar vCenter Server inmediatamente?

Si no puedes actualizar vCenter Server inmediatamente, debes tomar medidas para mitigar el riesgo de ataque. Esto incluye:

    • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
    • Limitar el acceso al servidor vCenter Server solo a los usuarios que lo necesiten.
    • Cambiar las contraseñas de las cuentas de usuario de vCenter Server con frecuencia.
    • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    SOLUCIONES CIBERSEGURIDAD

    Consulta nuestros servicios

    formación ciberseguridad

    Formación y Concienciación en Ciberseguridad

    Equipo de respuesta a incidentes analizando un ciberataque

    Peritaje Informático

    Consultora experta en ciberseguridad

    Servicios Gestionados de Ciberseguridad

    Hackers profesionales haciendo un testeo sobre las lineas de seguridad de una empresa

    Respuesta a Incidentes

    Varios ordenadores portátiles y una máscara. Hacking ético.

    Hacking Ético

    Auditoría de Ciberseguridad

    Consultoría Ciberseguridad

    Multiple Factor Authentication

    Seguridad de Dispositivos

    Comunicaciones Seguras

    Monitorización y Análisis

    Vulnerability system

    Análisis de Vulnerabilidades

    Seguridad Aplicaciones

    Últimas entradas

    1 de noviembre de 2024
    En el ámbito de la ciberseguridad moderna, el DevSecOps se presenta como una evolución de las prácticas tradicionales de desarrollo, integrando la seguridad en cada...
    31 de octubre de 2024
    En la era digital, el correo electrónico es una herramienta clave para la comunicación empresarial, pero también es el vector de entrada del 97% de...
    31 de octubre de 2024
    La seguridad en entornos SaaS (Software como Servicio) se ha vuelto crítica para las empresas modernas. Los datos de la industria reflejan que casi la...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS