VMware emitió actualizaciones de seguridad para corregir una vulnerabilidad crítica de vCenter Server (VMSA-2023-0023) que puede explotarse para realizar ataques de ejecución remota de código (RCE) en servidores vulnerables.
vCenter Server es el centro de administración central para la suite vSphere de VMware y ayuda a los administradores a administrar y monitorear la infraestructura virtualizada.
La vulnerabilidad (CVE-2023-34048) fue reportada por Grigory Dorodnov de Zero Day Initiative de Trend Micro y se debe a una debilidad de escritura fuera de límites en la implementación del protocolo DCE/RPC de vCenter.
Los atacantes no autenticados pueden explotarlo de forma remota en ataques de baja complejidad que no requieren la interacción del usuario. La compañía dice que no tiene evidencia de que el error CVE-2023-34048 se utilice actualmente en ataques.
Ahora se puede acceder a los parches de seguridad que abordan este problema a través de los mecanismos de actualización estándar de vCenter Server. Debido a la naturaleza crítica de este error, VMware también ha publicado parches para varios productos al final de su vida útil que ya no cuentan con soporte activo.
"Si bien VMware no menciona los productos al final de su vida útil en los avisos de seguridad de VMware, debido a la gravedad crítica de esta vulnerabilidad y la falta de solución alternativa, VMware ha puesto un parche a disposición general para vCenter Server 6.7U3, 6.5U3 y VCF 3.x.Por las mismas razones, VMware ha puesto a disposición parches adicionales para vCenter Server 8.0U1. Se han puesto a disposición parches asíncronos de vCenter Server para implementaciones de VCF 5.x y 4.x".
VMware insta a los administradores a controlar estrictamente el acceso al perímetro de la red a las interfaces y los componentes de administración de vSphere, incluidos los componentes de red y de almacenamiento.
Los puertos de red específicos vinculados a una posible explotación en ataques dirigidos a esta vulnerabilidad son 2012/tcp, 2014/tcp y 2020/tcp.
La compañía también parcheó una vulnerabilidad de divulgación parcial de información con una puntuación base CVSS de gravedad 4.3/10 rastreada como CVE-2023-34056 que puede ser aprovechada por actores de amenazas con privilegios no administrativos en servidores vCenter para acceder a datos confidenciales. "Esto se consideraría un cambio de emergencia y su organización debería considerar actuar rápidamente", dijo VMware en un documento de preguntas frecuentes separado.
En junio, VMware parchó múltiples fallas de seguridad de alta gravedad de vCenter Server, mitigando la ejecución de código y los riesgos de omisión de autenticación.
La misma semana, VMware solucionó un día cero de ESXi explotado activamente por atacantes estatales chinos, para robar datos. También alertó a los clientes sobre una falla crítica explotada activamente en la herramienta de análisis Aria Operations for Networks, que desde entonces ha sido parcheada.
Fuente: BC