Un error crítico de divulgación de información en el servicio de directorio de VMware (vmdir) podría dejar al descubierto el contenido de infraestructuras virtuales corporativas enteras, si es explotado por los ciberatacantes.
Vmdir forma parte del producto vCenter Server de VMware, que proporciona una administración centralizada de hosts virtualizados y máquinas virtuales (VM) desde una única consola. Según la descripción del producto, «un solo administrador puede administrar cientos de cargas de trabajo».
Estas cargas de trabajo se rigen por un mecanismo de inicio de sesión único (SSO) para facilitar las cosas a los administradores; en lugar de tener que iniciar sesión en cada host o VM con credenciales separadas para obtener visibilidad, un mecanismo de autenticación funciona en toda la consola de administración.
El vmdir a su vez es un componente central del vCenter SSO (junto con el Servicio de token de seguridad, un servidor de administración y el Servicio de búsqueda de vCenter). Además, vmdir se usa para la administración de certificados para las cargas de trabajo gobernadas por vCenter, según VMware.
El fallo crítico (CVE-2020-3952) fue revelado y parcheado el jueves; califica 10 de 10 en la escala de gravedad de vulnerabilidad CVSS v.3. El problema es un control de acceso mal implementado, de acuerdo con el aviso de error, que podría permitir a un actor malicioso eludir los mecanismos de autenticación.
«Bajo ciertas condiciones, vmdir que se entrega con VMware vCenter Server, como parte de un controlador de servicios de plataforma (PSC) incorporado o externo, no implementa correctamente los controles de acceso», explica la descripción.
En cuanto al vector de ataque, «un actor malicioso con acceso de red a una implementación de vmdir afectada puede extraer información altamente confidencial», señaló VMware. A su vez, esta información podría usarse para comprometer el propio vCenter Server «u otros servicios que dependen de vmdir para la autenticación».
No hay soluciones, pero se recomienda a los administradores que apliquen los parches lo antes posible.
vCenter Server 6.7 (PSC integrado o externo) anterior a 6.7u3f se ve afectado por CVE-2020-3952 si se actualizó desde una línea de versión anterior, como 6.0 o 6.5. Según la empresa, las instalaciones limpias de vCenter Server 6.7 (PSC incorporado o externo) no se ven afectadas. Para ayudar a los administradores a descubrir si sus implementaciones de vmdir se ven afectadas por CVE-2020-3952, el proveedor ha publicado un documento de base de conocimiento práctico.
Referencias:
https://www.vmware.com/security/advisories/VMSA-2020-0006.html
https://threatpost.com/critical-vmware-bug-corporate-treasure-hackers/154682