Vulnerabilidad de VMware en ESXi

Bypass de autenticación y denegación de servicio afecta múltiples versiones de ESXi

August 25, 2021 by

Araya, Mauricio

Hoy compartimos un nuevo aviso de seguridad (VMSA-2021-0014) emitido por VMware gracias al reporte privado enviado a VMware por Douglas Everson. Este nuevo aviso advierte sobre vulnerabilidades en la autenticación haciendo uso de SFCB y la posibilidad de realizar denegación de servicio en los hipervisores mediante OpenSLP.

En este artículo se informará todo lo necesario para un rápido entendimiento de la amenaza y poder tomar una pronta acción para la mitigación. También se brinda un pequeño glosario.

Criticidad de Vulnerabilidades

Vulnerabilidad	CVSSv3 Range	Severidad
CVE-2021-21994	7.0	Media
CVE-2021-21995	5.3	Medi

¿Qué implican estas vulnerabilidades?

La vulnerabilidad CVE-2021-21994 afecta a Small Footprint CIM Broker permitiendo a un atacante con acceso de red al puerto 5989 de ESXi realizar un bypass de autenticación mediante el envío de una petición específicamente diseñada para este fin.

La vulnerabilidad CVE-2021-21994 permite a un atacante con acceso de red al puerto 427 en un ESXi realizar una denegación de servicio lanzando una lectura fuera de los límites de pila en el servicio OpenSLP.

¿Cuál es el alcance?

El alcance de estas vulnerabilidades alcanza a:

VMware ESXi 6.0, VMware ESXi 6.7 y VMware ESXi 7.0

VMware Cloud Foundation (ESxXi) 4.x y Cloud Foundation (ESXi) 3.x

¿Cómo proteger mi infraestructura?

Protección contra CVE-2021-21994

En lo que respecta a este caso VMware liberó un nuevo parche para cada una de las versiones mencionadas.

Parches liberados

ESXi

Para la versión 6.5 se liberó el patch ESXi650-202107401-SG que corrige el problema. Luego de instalar este parche, se tendrá el número de build 18071574.

Para corregir esta vulnerabilidad en la versión 6.7 se liberó el patch ESXi670-202103101-SG. Luego de aplicado, el nuevo build number será 17700523.

En el caso de la versión 7.0 de ESXi se liberó el patch ESXi70U2-17630552, cuyo nuevo build es 17630552.

Cloud Foundation (ESXi)

Cloud Foundation 4.x - La versión liberada con el fix para esta vulnerabilidad es la 4.3

Cloud Foundation 3.x - La versión liberada con el fix para esta vulnerabilidad es la 3.10.2.

Importante: es posible que lo primero que realices sea revisar tus ESXi para comprobar su versión y número de build. Si es igual a la indicada más arriba, claramente estás protegido por esta vulnerabilidad en particular. En caso de que no coincida y no sepas con certeza si corresponde aplicar el parche o no, te recomendamos que consultes esta Knowledge Base para revisar la fecha de lanzamiento de tu versión.

Procedimiento

Para realizar la aplicación de este parche debe descargarlo desde el portal de my.vmware, iniciar sesión en vCenter y aplicarlo desde Update Manager.

Consideraciones

1. Previo a realizar esta tarea, se recomienda que verifique previamente sus drivers y firmwares actuales y si requerirá nuevos en caso de estar realizando un upgrade desde alguna versión anterior. No deje de consultar a su partner, fabricante, o referente técnico previo a realizar una tarea de parcheado.

2. Tener en cuenta que para realizar este procedimiento se requiere puesta en modo mantenimiento (con la consecuente migración de sus VMs) y reinicio del host. No debe realizar esta tarea sin el correspondiente plan de rollback.

3. Debe tener en cuenta que al actualizar el host debe respetarse la secuencia de update de VMware, sobre todo si viene de versiones previas. Se recomienda comprobar antes de esta tarea las fechas de release de vCenter y las de ESXi para cumplir con la indicación del fabricante y evitar un mismatch de versiones.

1 . Dirigirse al portal de administración de Update Manager.

2 . En la pestaña “Imágenes ESXi” importar el parche descargado.

3 . Crear una nueva baseline con la imagen cargada en el paso anterior y completar los campos necesarios.

4 . Dirigirse al host que se desee aplicar el parche y añadir la nueva línea base.

5 . Comprobar el cumplimiento de las líneas base, hacer click en la que se ha creado en el paso anterior y hacer click en remediar.

6 . Repetir el paso con cada host afectado una vez que se comprobó que el primero quedó funcionando correctamente.

Workaround

En todo caso lo recomendable es realizar el parcheado de los equipos, pero en caso de que por cuestiones de negocio o cuestiones inherentes a la infraestructura sea difícil aplicarlo de forma inmediata, es posible realizar un Workaround

El workaround consiste en deshabilitar el servicio SFCB en cada ESXi afectado. Para esto, desde vCenter, debe seguir el siguiente procedimiento:

1 . Inicie sesión en vCenter con los permisos necesarios para modificar los servicios.

2 . Dirigirse al host ESXi afectado.

3. Ir a la sección de configuración y luego, en el apartado de System, posicionarse sobre servicios.

4 . Buscar el servicio CIM Server, como se muestra a continuación.

5 . Una vez ubicado, detenerlo en caso de que esté en ejecución.

6 . Por último, hacer clic en “Editar Política de Inicio / Edit Startup Policy” y seleccionar “Iniciar y detener manualmente / Start and stop manually”.

7 . Repetir este paso en cada ESXi afectado en el que desee aplicar el workaround.

Nota: tan pronto como sea posible se recomienda aplicar el parche y, una vez realizado, dejar las configuraciones que estaban por default.

Protección contra CVE-2021-21995

En el caso de esta vulnerabilidad también se da la solución en las mismas versiones que para CVE-2021-21994. Es decir que el mismo parche soluciona los dos CVE.

Workaround CVE-2021-21995

En este caso el workaround consiste en deshabilitar el servicio SLP. Para realizar al tarea, siga los pasos indicados a continuación:

1 . Inicie sesión en vCenter con los permisos necesarios para modificar los servicios.

2 . Dirigirse al host ESXi afectado.

3. Ir a la sección de configuración y luego, en el apartado de System, posicionarse sobre servicios.

4 . Buscar el servicio slpd, como se muestra a continuación.

5 . Seleccionar el servicio SLPD y detenerlo.

6 . Editar la política de inicio haciendo click en Edit Startup Policy y configurarlo en “Iniciar y detener manualmente”

7 . Repetir el procedimiento para cada nodo afectado

Glosario

¿Qué es VMSA? La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.

¿Qué es CVE? Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.

¿Qué es CVSS? Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.
En base a esto se establece tres niveles de riesgo:

Severidad baja: 0.0 - 3.9
Severidad media: 4.0 - 6.9
Severidad alta: 7.0 - 10.0

El método con el que se calcula el impacto con CVSS excede el alcance de este artículo.

¿Necesitás ayuda para resolver el problema?

Dejanos tus datos para que nuestro equipo se ponga inmediatamente en contacto con vos.

Quiero ser contactado