VMware lanza actualizaciones de seguridad para múltiples productos

06 Agosto 2021
Alto

VMware ha publicado 2 vulnerabilidades, que se clasifican en 1 de severidad Alta y 1 de severidad baja. Dichas vulnerabilidades afectan a VMware Workspace ONE Access, Identity Manager y vRealize Automation, permitiendo la alteración del encabezado del host y divulgación de información. 

Severidad Alta

CVE-2021-22002 - Alteración del encabezado del host que conduce a una solicitud del lado del servidor en el servicio restringido interno 

VMware Workspace ONE Access and Identity Manager permiten acceder a la aplicación web / cfg y a los puntos finales de diagnóstico, en el puerto 8443, a través del puerto 443 mediante un encabezado de host personalizado. VMware ha evaluado este problema como de gravedad " Importante " con una puntuación base máxima de CVSSv3 de 8,6 .

Un actor malintencionado con acceso de red al puerto 443 podría manipular los encabezados del host para facilitar el acceso a la aplicación web / cfg, además, un actor malintencionado podría acceder a los puntos finales de diagnóstico / cfg sin autenticación.

Severidad Baja

CVE-2021-22003 - Vulnerabilidad de divulgación de información 

VMware Workspace ONE Access and Identity Manager, proporcionan involuntariamente una interfaz de inicio de sesión en el puerto 7443. VMware ha evaluado que este problema es de gravedad " baja " con una puntuación base máxima de CVSSv3 de 3,7 .

Un actor malintencionado con acceso de red al puerto 7443 puede intentar la enumeración del usuario o la fuerza bruta del punto final de inicio de sesión, lo que puede ser práctico o no según la configuración de la política de bloqueo y la complejidad de la contraseña para la cuenta de destino.

Productos afectados:

  • VMware Workspace ONE Access (Access) versiones 20.10.01 y 20.10
  • VMware Identity Manager (vIDM) versiones 3.3.2, 3.3.3, 3.3.4 y 3.3.5
  • VMware Identity Manager (vIDM)  versión 7.6 y 8.x
  • VMware Cloud Foundation versión 4.x
  • vRealize Suite Lifecycle Manager versión 8.x

Se han evidenciado recientemente actividades maliciosas relacionadas a VMware ESXI por medio de la CVE-2021-21972 y asociados a VMware Center por medio de las CVE-2021-21985 y CVE-2021-21986 (las cuales fueron anteriormente reportadas y parcheadas por VMware), estas vulnerabilidades abordan fallos de autenticación y ejecución de código remoto.

Severidad Crítica

CVE-2021-21985 - Las actualizaciones de VMware vCenter Server abordan la vulnerabilidad de ejecución remota de código en vSphere Client

VSphere Client (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la falta de validación de entrada en el complemento Virtual SAN Health Check, que está habilitado de forma predeterminada en vCenter Server. VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad crítica con una puntuación base máxima de CVSSv3 de 9,8.

Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server.

CVE-2021-21972 - Las actualizaciones de VMware vCenter Server abordan la vulnerabilidad de ejecución remota de código en vSphere Client

VSphere Client (HTML5) contiene una vulnerabilidad de ejecución remota de código en un complemento de vCenter Server. VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad crítica con una puntuación base máxima de CVSSv3 de 9,8 .

Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server. 

Severidad Media

CVE-2021-21986 - Problema del mecanismo de autenticación en los complementos de vCenter Server

VSphere Client (HTML5) contiene una vulnerabilidad en un mecanismo de autenticación de vSphere para los complementos Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager y VMware Cloud Director Availability. VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad moderada con una puntuación base máxima de CVSSv3 de 6,5 .

Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede realizar acciones permitidas por los complementos afectados sin autenticación.

Productos afectados:

  • VMware vCenter Server (vCenter Server) versiones 6.5, 6.7 y 7.0
  • VMware Cloud Foundation (Cloud Foundation) versiones 3.x y 4.x

Panorama

La evolución de algunas tácticas utilizadas por grupos de amenazas es una de las consecuencias de la nueva normalidad. Es por tal motivo que las vulnerabilidades no parcheadas es uno de los mayores retos de las organizaciones en lo que a seguridad se refiere dado que hoy son más vulnerables. En esta situación, la configuración e implementación de políticas de parcheo se convierte en una medida crucial.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #CVE-2021-22002 #CVE-2021-22003 #CVE-2021-21985 #CVE-2021-21986 #CVE-2021-21972


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.