Boletines de seguridad

Según el aviso de seguridad de VMware VMSA-2024-0020, se informaron de forma responsable a VMware varias vulnerabilidades en VMware NSX.

La versión de NSX-T que se ejecuta en tu entorno de VMware Engine no se ve afectada por los CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Según el aviso de seguridad de VMware VMSA-2024-0021, se informó de forma privada a VMware una vulnerabilidad de inyección de SQL autenticada en VMware HCX.

Aplicamos la mitigación aprobada por VMware para abordar esta vulnerabilidad. Esta corrección aborda una vulnerabilidad de seguridad que se describe en CVE-2024-38814. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los cambios aplicados. Se instalaron las mitigaciones adecuadas, y tu entorno está protegido contra esta vulnerabilidad.

¿Qué debo hacer?

Te recomendamos que actualices a la versión 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware divulgó varias vulnerabilidades en el VMSA-2024-0019 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Google ya inhabilitó cualquier posible explotación de esta vulnerabilidad. Por ejemplo, Google bloqueó los puertos a través de los cuales se podría aprovechar esta vulnerabilidad.
• Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2024-38812
• CVE-2024-38813

Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd). Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: una ejecución remota de código no autenticado como root, ya que afecta el código con privilegios de sshd, que no está en zona de pruebas y se ejecuta con privilegios completos.

En el momento de la publicación, se cree que la explotación podría ser difícil y requerir ganar una condición de carrera, que es difícil de aprovechar con éxito y puede tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

1. Aplica actualizaciones de distribuciones de Linux a tus cargas de trabajo a medida que estén disponibles. Consulta la guía de las distribuciones de Linux.
2. Si no es posible actualizar, considera desactivar OpenSSH hasta que se pueda aplicar un parche.
3. Si se debe dejar activado OpenSSH, también puedes ejecutar una actualización de configuración que elimine la condición de caso de carrera para el exploit. Esta es una mitigación del tiempo de ejecución. Para aplicar los cambios en la configuración de sshd, esta secuencia de comandos reiniciará el servicio de sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Por último, supervisa si hay alguna actividad de red inusual que involucre servidores SSH.

• CVE-2024-6387
• Respuesta de Broadcom VMware Cloud Foundation

VMware divulgó varias vulnerabilidades en el VMSA-2024-0012 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Se puede aprovechar la vulnerabilidad si se accede a puertos específicos en vCenter Server. Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible explotación de esta vulnerabilidad.
• Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan a los componentes de ESXi implementados en entornos de clientes.

El impacto de VMware Engine

Se actualizaron tus nubes privadas para abordar la vulnerabilidad de seguridad.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Se puede aprovechar la vulnerabilidad si se accede a puertos específicos en vCenter Server. Estos puertos no están expuestos a la Internet pública.
• Si los sistemas no confiables no pueden acceder a los puertos 2012/tcp, 2014/tcp y 2020/tcp de vCenter, no estás expuesto a esta vulnerabilidad.
• Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible aprovechamiento de esta vulnerabilidad.
• Además, Google se asegurará de que todas las implementaciones futuras del servidor vCenter no estén expuestas a esta vulnerabilidad.
• En el momento de la publicación del boletín, VMware no tenía conocimiento de ningún exploit “en el entorno real”. Para obtener más información, consulta la documentación de VMware.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2023-34048, CVE-2023-34056

Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895 y CVE-2023-20896).

El impacto de VMware Engine

VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation).

¿Qué debo hacer?

Los clientes no se verán afectados y no es necesario que realicen ninguna acción.

• CVE-2023-20893

Recientemente, Intel anunció el Aviso de seguridad INTEL-SA-00828 que afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes tus riesgos en función de la advertencia.

El impacto de VMware Engine

Nuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un solo cliente. Por lo tanto, nuestro modelo de implementación no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad.

Estamos trabajando con nuestros socios para obtener los parches necesarios y los implementaremos de forma prioritaria en toda la flota con el proceso de actualización estándar en las próximas semanas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Estamos trabajando para actualizar todos los sistemas afectados.

• CVE-2022-40982

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches proporcionados por VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Ten la certeza de que se instalaron los parches adecuados y tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Te recomendamos que actualices a la versión más reciente de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974