Parches críticos vCenter Server

VMWARE

En el mundo actual, la seguridad de la infraestructura virtual es de suma importancia para las empresas que dependen de ella para sus operaciones. Sin embargo, las vulnerabilidades en plataformas como VMware vCenter Server pueden poner en riesgo toda la infraestructura.

Recientemente, VMware ha publicado un aviso de seguridad urgente para abordar tres vulnerabilidades críticas en vCenter Server. Estas vulnerabilidades, con puntuaciones CVSS de 9.8 y 7.8, permiten a los atacantes ejecutar código de forma remota y escalar privilegios en los sistemas afectados.

¿Qué versiones de vCenter Server están afectadas?

Las vulnerabilidades afectan a las versiones 7.0 y 8.0 de VMware vCenter Server, y a las versiones 4.x y 5.x de VMware Cloud Foundation. Sin embargo, las versiones de vSphere que han alcanzado el fin del soporte general no serán actualizadas.

¿Cuáles son las vulnerabilidades?

Las tres vulnerabilidades descubiertas son:

  • CVE-2024-37079: Permite la ejecución remota de código (RCE) a través de un desbordamiento de heap en el protocolo DCERPC.
  • CVE-2024-37080: Otra vulnerabilidad RCE similar a CVE-2024-37079, también a través de un desbordamiento de heap en el protocolo DCERPC.
  • CVE-2024-37081: Permite la escalada de privilegios a root en el dispositivo vCenter Server debido a una mala configuración de sudo.

CVE-2024-37079 y CVE-2024-37080: Ejecución remota de código (RCE) vía desbordamiento de heap en DCERPC

¿Qué es un desbordamiento de heap?

El desbordamiento de heap es un tipo de vulnerabilidad de software que se produce cuando un programa escribe más datos en un área de memoria de lo que está diseñada para contener. Esto puede corromper otros datos en la memoria o incluso permitir que un atacante ejecute su propio código.

¿Cómo funciona el ataque RCE en vCenter Server?

En el caso de las vulnerabilidades CVE-2024-37079 y CVE-2024-37080, el atacante envía un paquete de red especialmente diseñado al servidor vCenter Server. Este paquete contiene datos malformados que provocan un desbordamiento de heap en el protocolo DCERPC.

Al aprovecharse de este desbordamiento, el atacante puede ejecutar código arbitrario en el servidor vCenter Server. Esto le da al atacante control total sobre el servidor, lo que le permite robar datos, instalar malware o interrumpir servicios críticos.

CVE-2024-37081: Escalada de privilegios a root en vCenter Server

¿Qué es la escalada de privilegios?

La escalada de privilegios es un tipo de ataque en el que un atacante obtiene acceso a un nivel de privilegio más alto en un sistema informático. En el caso de la vulnerabilidad CVE-2024-37081, un atacante puede escalar sus privilegios a root en el dispositivo vCenter Server.

¿Cómo funciona el ataque de escalada de privilegios en vCenter Server?

La vulnerabilidad CVE-2024-37081 se debe a una mala configuración de sudo en vCenter Server. Sudo es una herramienta que permite a los usuarios ejecutar comandos con privilegios de root.

La mala configuración de sudo en este caso permite a un usuario local autenticado ejecutar comandos como root sin la contraseña de root. Esto le da al atacante acceso completo al sistema, lo que le permite realizar acciones dañinas.

¿Qué se recomienda hacer?

VMware no ha identificado soluciones alternativas dentro del producto para estas vulnerabilidades, por lo que se recomienda aplicar las actualizaciones lo antes posible.

  • Las versiones 8.0 U2d y 8.0 U1e corrigen las dos vulnerabilidades RCE.
  • La versión 7.0 U3r corrige las tres vulnerabilidades.

Es importante seguir el proceso estándar de parcheo

  1. Descarga las actualizaciones desde el sitio web de VMware.
  2. Sigue las instrucciones de instalación proporcionadas por VMware.
  3. Prueba las actualizaciones en un entorno de prueba antes de implementarlas en producción.

Impacto potencial de las vulnerabilidades

Las vulnerabilidades descubiertas en vCenter Server pueden tener un impacto significativo en las organizaciones que dependen de esta plataforma para gestionar sus entornos virtuales. Un atacante que explote con éxito estas vulnerabilidades podría:

  • Ejecutar código de forma remota (RCE) en el servidor vCenter Server. Esto podría permitirle al atacante tomar el control total del servidor, acceder a datos confidenciales, instalar malware o interrumpir servicios críticos.
  • Escalar privilegios a root en el servidor vCenter Server. Esto le daría al atacante acceso completo a todos los recursos del sistema, lo que podría permitirle realizar acciones aún más dañinas.
  • Acceder a datos confidenciales, como credenciales de usuario o información de tarjetas de crédito. Estos datos podrían ser utilizados para realizar ataques de phishing, robo de identidad o fraude financiero.
  • Interrumpir servicios críticos, como la virtualización de escritorios o las aplicaciones empresariales. Esto podría causar pérdidas de productividad y daños financieros a la organización.

Recomendaciones adicionales para la protección de vCenter Server

Además de aplicar las actualizaciones de seguridad lo antes posible, las organizaciones también deben tomar las siguientes medidas para proteger sus entornos vCenter Server:

Preguntas frecuentes sobre las vulnerabilidades críticas de vCenter Server

¿Existe alguna solución alternativa para estas vulnerabilidades?

  • VMware no ha identificado soluciones alternativas viables dentro del producto para ninguna de las tres vulnerabilidades. Por lo tanto, la única forma de protegerse es aplicar las actualizaciones.

¿Qué más puedo hacer para proteger mi entorno vCenter Server?

  • Además de aplicar las actualizaciones, puedes tomar las siguientes medidas:
    • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
    • Utilizar contraseñas seguras y complejas para las cuentas de usuario de vCenter Server.
    • Habilitar la autenticación de dos factores (2FA) para las cuentas de usuario de vCenter Server.
    • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.
    • Mantenerse informado sobre las últimas amenazas y vulnerabilidades de seguridad.

¿Ha habido alguna explotación conocida de estas vulnerabilidades?

  • Hasta el momento, VMware no ha informado de ninguna explotación activa de estas vulnerabilidades. Sin embargo, esto no significa que no sean un riesgo. Es importante aplicar las actualizaciones de seguridad lo antes posible para reducir el riesgo de ser atacado.

¿Qué pasa si no puedo actualizar vCenter Server inmediatamente?

Si no puedes actualizar vCenter Server inmediatamente, debes tomar medidas para mitigar el riesgo de ataque. Esto incluye:

    • Implementar una solución de seguridad de red, como un firewall, para restringir el acceso al servidor vCenter Server.
    • Limitar el acceso al servidor vCenter Server solo a los usuarios que lo necesiten.
    • Cambiar las contraseñas de las cuentas de usuario de vCenter Server con frecuencia.
    • Realizar auditorías de seguridad regulares para identificar y corregir vulnerabilidades potenciales.

¿Tienes dudas con la ciberseguridad? ¡En Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tus datos en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu datos contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

Solicita un análisis de diagnóstico gratuito

¿Has sufrido incidentes de seguridad?
¿Estás preocupado por un ciberataque? Obtén soluciones ya

    SOLUCIONES CIBERSEGURIDAD

    Consulta nuestros servicios

    Contraseña

    Diseño y optimización de arquitectura cloud

    Contraseña

    Protección Avanzada para Entornos Multicloud

    Contraseña

    Gestión Postura de Seguridad en Nube – CSPM

    Contraseña

    Amazon Web Services Security

    Contraseña

    Google Security

    Contraseña

    Microsoft Security

    Contraseña

    SD-WAN

    Contraseña

    SASE

    Contraseña

    Servicios de provisión

    Contraseña

    Servicios Gestionados Ciberseguridad

    Contraseña

    Zero Trust Network Access – ZTNA

    Contraseña

    DDoS Protection

    Últimas entradas

    14 de febrero de 2025
    La tecnología ha cambiado drásticamente la manera en que interactuamos, compartimos información y realizamos actividades cotidianas. En este escenario, la tecnología Wireless se ha consolidado...
    13 de febrero de 2025
    La seguridad informática se ha convertido en una pieza clave para el éxito y la sostenibilidad de las organizaciones en el panorama actual. Con la...
    12 de febrero de 2025
    En la era de la Industria 4.0, el término SCADA (Supervisory Control and Data Acquisition) se ha vuelto imprescindible para empresas que buscan optimizar procesos...

    GUÍAS

    Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

      guías

      Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

        SESIÓN DE CONSULTORÍA

        Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para proteger tu negocio en empresas en 2025 GRATIS

            SESIÓN DE CONSULTORÍA

            Consigue la guía para identificar las vulnerabilidades de tu empresa GRATIS

              SESIÓN DE CONSULTORÍA

              Consigue la guía sobre inteligencia artificial en ciberseguridad GRATIS

                SESIÓN DE CONSULTORÍA

                Conoce los 3 pilares básicos de ciberseguridad en pymes GRATIS

                  SESIÓN DE CONSULTORÍA

                  Solicita una sesión de consultoría GRATIS