Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en VMware

30 Jul 2024

INTRODUCCIÓN

Broadcom ha publicado un boletín de seguridad que parchea tres vulnerabilidades moderadas que afectan a VMware ESXI: CVE-2024-37085, una vulnerabilidad de omisión de autenticación y CVE-2024-37086, una vulnerabilidad de lectura fuera de límites; y vCenter Server afectado por una vulnerabilidad de denegación de servicio, CVE-2024-37087. Esta nota se centra en CVE-2024-37085.

ANÁLISIS:

CVE-2024-37085 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H - 6.8:
VMware ESXi contiene una vulnerabilidad de elusión de autenticación. Un actor malintencionado con suficientes permisos de Active Directory (AD) puede obtener acceso completo a un host ESXi que fue configurado previamente para utilizar AD para la gestión de usuarios mediante la recreación del grupo AD configurado ('ESXi Admins' por defecto) después de haber sido eliminado de AD. Microsoft ha indicado que esta vulnerabilidad está siendo explotada para desplegar ransomware.

Microsoft ha especificado que existen al menos tres métodos para explotar esta vulnerabilidad: En primer lugar, añadiendo el grupo «ESX Admins» al dominio y añadiendo un usuario al mismo en caso de que no exista. En segundo lugar, renombrando cualquier grupo del dominio a «ESX Admins» y añadiendo un usuario al grupo o utilizar un miembro del grupo existente. Por último, mediante la actualización de privilegios del hipervisor ESXi.

VERSIONES AFECTADAS:

ESXi    8.0      
ESXi    7.0      
VMware Cloud Foundation    5.x
VMware Cloud Foundation    4.x

RECOMENDACIONES:

Para ESXi 8.0 actualice a ESXi80U3-24022510
No hay actualización para ESXi 7.0
Para VMware Cloud Foundation 5.x actualice a 5.2
No hay actualización para VMware Cloud Foundation 4.x

Broadcom ha indicado que existe una solución provisional, cambiando las siguientes opciones avanzadas de ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd de true a false
Config.HostAgent.plugins.vimsvc.authValidateInterval de 1440 a 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup de "ESX Admins" a ""

REFERENCIAS:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505
https://knowledge.broadcom.com/external/article/369707/
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

Artículos relacionados
Ver todas →
Alertas
Campaña phishing AEAT y Ministerio de Interior
Leer más →
Alertas
Nueva campaña de infección de Emotet
Leer más →
Alertas
Vulnerabilidad crítica en vCenter Server
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día