Nuevas vulnerabilidades en productos VMware

16 Noviembre 2021
Alto

VMware ha publicado dos nuevos avisos de seguridad de severidad Alta que afectan a productos como VMware Tanzu Application Service y Vmware vCenter Server.

CVE-2021-22048 [CVSSv3 de 7,1]
Vulnerabilidad de escalamiento de privilegios de IWA de VMware vCenter Server

VCenter Server contiene una vulnerabilidad de escalada de privilegios en el mecanismo de autenticación IWA (autenticación integrada de Windows) que un actor malintencionado con acceso no administrativo a vCenter Server puede aprovechar para elevar los privilegios a un grupo con más privilegios. 

Soluciones alternativas

La solución alternativa para CVE-2021-22048 es cambiar a AD sobre autenticación LDAPS o Identity Provider Federation para  AD FS (vSphere 7.0 only) desde la autenticación integrada de Windows (IWA) como se documenta en https://kb.vmware.com/s/article/86292.

Productos afectados:

  • vCenter Server:  6.5, 6.7 y 7.0
  • VMware Cloud Foundation: 3.x, 4.x

CVE-2021-22101 [CVSSv3 de 7,5]
Las actualizaciones del servicio de aplicaciones VMware Tanzu para máquinas virtuales abordan una vulnerabilidad de denegación de servicio 

El servicio de aplicaciones VMware Tanzu para máquinas virtuales utiliza Cloud Controller (CAPI) de Cloud Foundry, que es vulnerable a una vulnerabilidad de denegación de servicio (DoS) no autenticada podría permitir que  un atacante remoto aproveche esta falla para provocar la denegación de servicio mediante el uso de solicitudes HTTP REST y generar una consulta SQL enorme que conduce a la indisponibilidad de la base de datos (ccdb).

Productos afectados:

  • VMware Tanzu Application Service for VMs:
    • 2.12.x anteriores a 2.12.1
    • 2.11.x anteriores a 2.11.8
    • 2.10.x anteriores a 2.10.20
    • 2.9.x anteriores a 2.9.28
    • 2.7.x anteriores a 2.7.40

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #vCenter Server #Cloud Foundation #Tanzu #CVE-2021-22101 #CVE-2021-22048


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.