Se descubren nuevos fallos en VMware

21 Noviembre 2019
Alto

Los ingenieros de VMware emitieron un anuncio oficial que afecta a varias versiones del virtualizador VMware con múltiples vulnerabilidades de seguridad con criticidad alta y media, en las cuales permite al atacante realizar distintos tipos de vectores de ataque.

Entre las vulnerabilidades de criticidad alta tenemos el CVE-2019-5540, el cual permite la fuga de información en las versiones de VMware “Workstation y Fusion” en el componente de software principal de “vmnetdhcp”, según las investigaciones realizadas la explotación exitosa de dicha vulnerabilidad podría permitir a un atacante acceder a información sensible a través de esta en la máquina host.

Otra de las vulnerabilidades es en base al CVE-2019-5541, donde permite a un atacante la ejecución de código en el host invitado o puede permitir crear una condición de denegación de servicio en su propia máquina virtual en el adaptador de red virtual “e1000e”. La última vulnerabilidad alta es CVE-2019-5542, la explotación exitosa de este fallo en el controlador RPC puede permitir a los atacantes con privilegios normales de usuario crear una condición de denegación de servicio en su propia VM.

Respecto a las vulnerabilidades de criticidad media, estas se encuentran en los CVE-2019-11135 y CVE-2018-12207, donde el fallo permite a un atacante la ejecución de código en una máquina virtual para provocar un reinicio inmediato del software hypervisor ocasionando una denegación de servicio.

Se recomienda lo siguiente:

  • Aplicar todos los parches de las versiones arregladas.
  • Para VMware Workstation Pro y Player 15.x actualizar a la versión 15.5.1
  • Para VMware Fusion 11.x actualizar a la versión 15.5.1

El listado de las CVE se adjunta a continuación:


Tags: #vmware #Fugadeinformación #CódigoArbitrario #Vulnerabilidad #rce #dos #ddos
  • Productos Afectados
  • Producto Versión
    VMware ESXi 6.7
    ESXi 6.5
    ESXi 6.0
    Workstation 15.x
    Fusion 11.x


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.