VMware lanza actualizaciones de seguridad para sus productos

09 Diciembre 2019
Crítico

VMWare ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad  que afectan a sus productos ESXi y Horizon DaaS. De acuerdo a lo informado por VMWare, el error consistiría en un problema de sobreescritura en OpenSLP.

OpenSLP es un protocolo de código libre, de seguimiento de estándares del “Internet Engineering Task Force” (IETF), que proporciona un marco para permitir que las aplicaciones de redes descubran la existencia, ubicación y configuración de servicios de red, sin configuración previa.

Un atacante con acceso de red al puerto 427 en un host ESXi o en cualquier dispositivo de administración de Horizon DaaS puede sobreescribir en el protocolo del servicio OpenSLP lo que le permitiría escapar del entorno virtual y ejecutar código arbitrario de forma remota directamente en el sistema operativo del host.

La marca ha lanzado parches de seguridad para ESXi, sin embargo, aún está trabajando en parches para Horizon DaaS el cual solo cuenta con soluciones alternativas.

Se recomienda lo siguiente:

Con el fin de disminuir la brecha de seguridad expuesta por estas vulnerabilidades se recomienda seguir las instrucciones del fabricante (https://www.vmware.com/security/advisories/VMSA-2019-0022.html):

  • Instalar las actualizaciones oficiales desde el sitio de VMWare lo antes posible, las cuales han sido lanzadas para los productos ESXi.
  • Para los productos Horizon DaaS, aplicar la solución alternativa la cual se encuentra explicada en el sitio oficial de VMWare, ya que no se ha lanzado su parche correspondiente hasta la fecha.

El listado de las CVE se adjunta a continuación:


Tags: #VMWare #ESXi #Horizon DaaS #Vulnerabilidad #Parche
  • Productos Afectados
  • Producto Versión
    VMWare Horizon DaaS 8.x
    VMWare ESXi 6.7
    ESXi 6.5
    ESXi 6.0


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.