En un aviso de seguridad publicado el 18 de junio del 2024, Broadcom reveló múltiples vulnerabilidades críticas en la plataforma de gestión de virtualización VMware vCenter Server. Las fallas, identificadas como CVE-2024-37079, CVE-2024-37080 y CVE-2024-37081, exponen a vCenter Server a la ejecución remota de código y ataques de elevación de privilegios locales.
- CVE-2024-37079 y CVE-2024-37080 (CVSS 9.8): estas son vulnerabilidades de tipo heap-overflow dentro de la implementación del protocolo DCERPC. Un actor malicioso con acceso a la red de vCenter Server puede explotar estas vulnerabilidades enviando paquetes de red especialmente diseñados, lo que podría conducir a la ejecución remota de código y comprometer toda la infraestructura virtual administrada por el servidor afectado.
- CVE-2024-37081 (CVSS 7.8): esta vulnerabilidad de elevación de privilegios locales se debe a una mala configuración de la utilidad sudo en vCenter Server. Un usuario local autenticado con privilegios no administrativos puede aprovechar esta vulnerabilidad para obtener acceso root en vCenter Server Appliance, comprometiendo aún más la seguridad del entorno virtual.
Productos y versiones afectadas:
- vCenter Server: 7.0 y 8.0.
- Cloud Foundation (vCenter Server): versiones 4.x y 5.x.
Solución:
Actualizar a las versiones más recientes de cada producto afectado para mitigar estas vulnerabilidades:
- vCenter Server: 8.0 U2d, 8.0 U1e y 7.0 U3r.
- Cloud Foundation (vCenter Server): KB88287.
El proveedor menciona que la actualización de vCenter Server no afecta las cargas de trabajo o las máquinas virtuales en ejecución, pero se espera una indisponibilidad temporal en vSphere Client y otras interfaces de administración durante la actualización.
Recomendaciones:
- Aplicar las actualizaciones de seguridad proporcionadas por VMware lo antes posible para mitigar los riesgos potenciales.
- Revisar y ajustar las configuraciones de seguridad del entorno de vCenter Server regularmente.
- Monitorear el entorno virtual para detectar cualquier actividad sospechosa que pueda indicar intentos de explotación.
Referencias:
- https://securityonline.info/cve-2024-37079-cve-2024-37080-critical-vmware-vcenter-server-vulnerabilities-demand-immediate-action/
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
- https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-vcenter-rce-vulnerability-patch-now/
- https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3r-release-notes/index.html