Vulnerabilidades críticas en VMware vCenter Server
Hoy compartimos un comunicado emitido por el fabricante VMware el 2021-09-21, donde advierten sobre múltiples vulnerabilidades.
CVE-2021-21991, CVE-2021-21992, CVE-2021-21993, CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22009, CVE-2021-22010, CVE-2021-22011, CVE-2021-22012, CVE-2021-22013, CVE-2021-22014, CVE-2021-22015, CVE-2021-22016, CVE-2021-22017, CVE-2021-22018, CVE-2021-22019, CVE-2021-22020
Estas vulnerabilidades fueron informadas de forma privada a VMware y existen parches para remediar estos problemas en los servicios afectados.
vSphere 7.0
vSphere 6.5
¿Qué implican estas vulnerabilidades?
CVE-2021-22005: El vCenter posee una vulnerabilidad de carga de archivos en su servicio de análisis.
CVE-2021-21991: vCenter Server contiene una vulnerabilidad de escalamiento de privilegios local debido a la forma en que maneja los tokens de sesión.
CVE-2021-22006: vCenter Server contiene una vulnerabilidad de omisión de reverse proxy debido a la forma en que los endpoints manejan el URI.
CVE-2021-22011: vCenter Server contiene una vulnerabilidad de endpoint de API no autenticado en la biblioteca de contenido de vCenter Server.
CVE-2021-22015: El servidor vCenter contiene múltiples vulnerabilidades de escalada de privilegios locales debido a permisos inadecuados de archivos y directorios.
CVE-2021-22012: El servidor vCenter contiene una vulnerabilidad de divulgación de información debido a una API de gestión de dispositivos no autenticada.
CVE-2021-22013: El servidor vCenter contiene una vulnerabilidad de cruce de rutas de archivos que conduce a la divulgación de información en la API de gestión de dispositivos.
CVE-2021-22016: El servidor vCenter contiene una vulnerabilidad reflejada de secuencias de comandos en sitios cruzados debido a una falta de sanitización de entradas.
CVE-2021-22017: Rhttproxy, tal como se utiliza en vCenter Server, contiene una vulnerabilidad debida a la implementación incorrecta de la normalización de URI.
CVE-2021-22014: El servidor vCenter contiene una vulnerabilidad de ejecución de código autenticado en VAMI (Virtual Appliance Management Infrastructure).
CVE-2021-22018: El servidor vCenter contiene una vulnerabilidad de eliminación arbitraria de archivos en un complemento de VMware vSphere Life-cycle Manager.
CVE-2021-21992: vCenter Server contiene una vulnerabilidad de denegación de servicio debido al análisis incorrecto de entidades XML.
CVE-2021-22007: El servidor vCenter contiene una vulnerabilidad de divulgación de información local en el servicio Analytics.
CVE-2021-22019 - CVE-2021-22009: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio VAPI (vCenter API).
CVE-2021-22010: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio VPXD (Virtual Provisioning X Daemon).
CVE-2021-22008: El servidor vCenter contiene una vulnerabilidad de divulgación de información en el servicio VAPI (vCenter API).
CVE-2021-22020: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio Analytics.
CVE-2021-21993: vCenter Server contiene una vulnerabilidad SSRF (Server Side Request Forgery) debido a la validación incorrecta de las URL en vCenter Server Content Library.
¿Qué productos son afectados por estas vulnerabilidades?
VMware vCenter Server (vCenter Server)
Versiones:
7.0
6.7
6.5
VMware Cloud Foundation (Cloud Foundation)
Versiones:
4.x
3.x
En la siguiente tabla se indica la versión de vCenter que corrige las vulnerabilidades en su totalidad mencionadas anteriormente. En el caso de VCF, se menciona la kb correspondiente con el paso a paso para solventar este inconveniente.
Procedimiento para aplicar el hotfix
Tomar una snapshot sin memoria de la VM de vCenter 2. Conectarse a la consola VAMI (https://FQDN_o_IP_VCSA:5480) 3. Chequear la versión actual
Ir a la pestaña de Updates 5. Click en Check Updates. Aparecerán las actualizaciones disponibles, seleccionaremos la indicada en la tabla. 6. Hacer click en Stage and Install
El proceso nos pedirá aceptar la EULA
Luego, debemos seleccionar el checkbox para confirmar que hemos realizado un backup.
9. El proceso de actualización comenzará.
10. Una vez finalizado, chequear la versión para confirmar que el proceso se completó correctamente.
Links de referencia
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
Clasificación de vulnerabilidad según VMware
Glosario
¿Qué es VMSA? La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.
¿Qué es CVE? Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.
¿Qué es CVSS? Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.
En base a esto se establece tres niveles de riesgo:
Severidad baja: 0.0 - 3.9
Severidad media: 4.0 - 6.9
Severidad alta: 7.0 - 10.0
¿Necesitás ayuda para resolver el problema?
Dejanos tus datos para que nuestro equipo se ponga inmediatamente en contacto con vos.