En el mundo actual, la seguridad de la infraestructura virtual es de suma importancia para las empresas que dependen de ella para sus operaciones. Sin embargo, las vulnerabilidades en plataformas como VMware vCenter Server pueden poner en riesgo toda la infraestructura.

Recientemente, VMware ha publicado un aviso de seguridad urgente para abordar tres vulnerabilidades críticas en vCenter Server. Estas vulnerabilidades, con puntuaciones CVSS de 9.8 y 7.8, permiten a los atacantes ejecutar código de forma remota y escalar privilegios en los sistemas afectados.

¿Qué versiones de vCenter Server están afectadas?

Las vulnerabilidades afectan a las versiones 7.0 y 8.0 de VMware vCenter Server, y a las versiones 4.x y 5.x de VMware Cloud Foundation. Sin embargo, las versiones de vSphere que han alcanzado el fin del soporte general no serán actualizadas.

¿Cuáles son las vulnerabilidades?

Las tres vulnerabilidades descubiertas son:

• CVE-2024-37079: Permite la ejecución remota de código (RCE) a través de un desbordamiento de heap en el protocolo DCERPC.
• CVE-2024-37080: Otra vulnerabilidad RCE similar a CVE-2024-37079, también a través de un desbordamiento de heap en el protocolo DCERPC.
• CVE-2024-37081: Permite la escalada de privilegios a root en el dispositivo vCenter Server debido a una mala configuración de sudo.

CVE-2024-37079 y CVE-2024-37080: Ejecución remota de código (RCE) vía desbordamiento de heap en DCERPC

¿Qué es un desbordamiento de heap?

El desbordamiento de heap es un tipo de vulnerabilidad de software que se produce cuando un programa escribe más datos en un área de memoria de lo que está diseñada para contener. Esto puede corromper otros datos en la memoria o incluso permitir que un atacante ejecute su propio código.

¿Cómo funciona el ataque RCE en vCenter Server?

En el caso de las vulnerabilidades CVE-2024-37079 y CVE-2024-37080, el atacante envía un paquete de red especialmente diseñado al servidor vCenter Server. Este paquete contiene datos malformados que provocan un desbordamiento de heap en el protocolo DCERPC.

Al aprovecharse de este desbordamiento, el atacante puede ejecutar código arbitrario en el servidor vCenter Server. Esto le da al atacante control total sobre el servidor, lo que le permite robar datos, instalar malware o interrumpir servicios críticos.

CVE-2024-37081: Escalada de privilegios a root en vCenter Server

¿Qué es la escalada de privilegios?

La escalada de privilegios es un tipo de ataque en el que un atacante obtiene acceso a un nivel de privilegio más alto en un sistema informático. En el caso de la vulnerabilidad CVE-2024-37081, un atacante puede escalar sus privilegios a root en el dispositivo vCenter Server.

¿Cómo funciona el ataque de escalada de privilegios en vCenter Server?

La vulnerabilidad CVE-2024-37081 se debe a una mala configuración de sudo en vCenter Server. Sudo es una herramienta que permite a los usuarios ejecutar comandos con privilegios de root.

La mala configuración de sudo en este caso permite a un usuario local autenticado ejecutar comandos como root sin la contraseña de root. Esto le da al atacante acceso completo al sistema, lo que le permite realizar acciones dañinas.

¿Qué se recomienda hacer?

VMware no ha identificado soluciones alternativas dentro del producto para estas vulnerabilidades, por lo que se recomienda aplicar las actualizaciones lo antes posible.

• Las versiones 8.0 U2d y 8.0 U1e corrigen las dos vulnerabilidades RCE.
• La versión 7.0 U3r corrige las tres vulnerabilidades.

Es importante seguir el proceso estándar de parcheo

1. Descarga las actualizaciones desde el sitio web de VMware.
2. Sigue las instrucciones de instalación proporcionadas por VMware.
3. Prueba las actualizaciones en un entorno de prueba antes de implementarlas en producción.

Impacto potencial de las vulnerabilidades

Las vulnerabilidades descubiertas en vCenter Server pueden tener un impacto significativo en las organizaciones que dependen de esta plataforma para gestionar sus entornos virtuales. Un atacante que explote con éxito estas vulnerabilidades podría:

• Ejecutar código de forma remota (RCE) en el servidor vCenter Server. Esto podría permitirle al atacante tomar el control total del servidor, acceder a datos confidenciales, instalar malware o interrumpir servicios críticos.
• Escalar privilegios a root en el servidor vCenter Server. Esto le daría al atacante acceso completo a todos los recursos del sistema, lo que podría permitirle realizar acciones aún más dañinas.
• Acceder a datos confidenciales, como credenciales de usuario o información de tarjetas de crédito. Estos datos podrían ser utilizados para realizar ataques de phishing, robo de identidad o fraude financiero.
• Interrumpir servicios críticos, como la virtualización de escritorios o las aplicaciones empresariales. Esto podría causar pérdidas de productividad y daños financieros a la organización.

Recomendaciones adicionales para la protección de vCenter Server

Además de aplicar las actualizaciones de seguridad lo antes posible, las organizaciones también deben tomar las siguientes medidas para proteger sus entornos vCenter Server:

• Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
• Utilizar contraseñas seguras y complejas para las cuentas de usuario de vCenter Server. Usar gestores de contraseñas simplifica esta tarea.
• Habilitar la autenticación de dos factores (2FA) para las cuentas de usuario de vCenter Server.
• Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.
• Mantenerse informado sobre las últimas amenazas y vulnerabilidades de seguridad.

Preguntas frecuentes sobre las vulnerabilidades críticas de vCenter Server

¿Existe alguna solución alternativa para estas vulnerabilidades?

• VMware no ha identificado soluciones alternativas viables dentro del producto para ninguna de las tres vulnerabilidades. Por lo tanto, la única forma de protegerse es aplicar las actualizaciones.

¿Qué más puedo hacer para proteger mi entorno vCenter Server?

• Además de aplicar las actualizaciones, puedes tomar las siguientes medidas:
  • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
  • Utilizar contraseñas seguras y complejas para las cuentas de usuario de vCenter Server.
  • Habilitar la autenticación de dos factores (2FA) para las cuentas de usuario de vCenter Server.
  • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.
  • Mantenerse informado sobre las últimas amenazas y vulnerabilidades de seguridad.

¿Ha habido alguna explotación conocida de estas vulnerabilidades?

• Hasta el momento, VMware no ha informado de ninguna explotación activa de estas vulnerabilidades. Sin embargo, esto no significa que no sean un riesgo. Es importante aplicar las actualizaciones de seguridad lo antes posible para reducir el riesgo de ser atacado.

¿Qué pasa si no puedo actualizar vCenter Server inmediatamente?

Si no puedes actualizar vCenter Server inmediatamente, debes tomar medidas para mitigar el riesgo de ataque. Esto incluye:

• • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
  • Limitar el acceso al servidor vCenter Server solo a los usuarios que lo necesiten.
  • Cambiar las contraseñas de las cuentas de usuario de vCenter Server con frecuencia.
  • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!