Boletines de seguridad

Según el aviso de seguridad de VMware VMSA-2024-0021, se informó de forma privada a VMware una vulnerabilidad de inyección de SQL autenticada en VMware HCX.

Aplicamos la mitigación aprobada por VMware para abordar esta vulnerabilidad. Esta corrección aborda una vulnerabilidad de seguridad que se describe en CVE-2024-38814. Las versiones con imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar que se aplicaron los cambios. Se instalaron las mitigaciones adecuadas y tu entorno está protegido contra esta vulnerabilidad.

¿Qué debo hacer?

Te recomendamos actualizar a la versión más reciente de HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware divulgó varias vulnerabilidades en el VMSA-2024-0019 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Google ya inhabilitó cualquier posible explotación de esta vulnerabilidad. Por ejemplo, Google bloqueó los puertos podría aprovecharse de esta vulnerabilidad.
• Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2024-38812
• CVE-2024-38813

Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd). Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: una ejecución de código remoto sin autenticar como raíz, ya que afecta el código con privilegios de SSHD, que no está en zona de pruebas y se ejecuta con todos los privilegios.

En el momento de la publicación, se cree que la explotación podría ser difícil y requerir ganar una condición de carrera, lo que es difícil de aprovechar con éxito y puede tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

1. Aplica actualizaciones de distribuciones de Linux a tus cargas de trabajo a medida que se que estén disponibles. Consulta la guía de las distribuciones de Linux.
2. Si no es posible realizar la actualización, considera desactivar OpenSSH hasta se le pueden aplicar parches.
3. Si se debe dejar activado OpenSSH, también puedes ejecutar una actualización de configuración que elimine la condición de caso de carrera para el exploit. Esta es una mitigación del tiempo de ejecución. Para aplicar los cambios en la configuración de SSHD, esta secuencia de comandos reiniciará el servicio SSHD.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Por último, supervisa cualquier actividad de red inusual que involucre servidores SSH.

• CVE-2024-6387
• Broadcom VMware Cloud Foundation Response

VMware divulgó varias vulnerabilidades en VMSA-2024-0012 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Se puede aprovechar la vulnerabilidad si se accede a puertos específicos en vCenter Server. Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible explotación de esta vulnerabilidad.
• Además, Google garantiza que ninguna implementación futura de vCenter expuestos a esta vulnerabilidad.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan a los componentes de ESXi implementados en entornos de clientes.

El impacto de VMware Engine

Tus nubes privadas se actualizaron para abordar la vulnerabilidad de seguridad.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en entornos de clientes.

El impacto de VMware Engine

• Se puede aprovechar la vulnerabilidad si se accede a puertos específicos en vCenter Server. Estos puertos no están expuestos a la Internet pública.
• Si los puertos de vCenter 2012/tcp, 2014/tcp y 2020/tcp no son accesibles para sistemas que no son de confianza, entonces no estás expuesto en la nube.
• Google ya bloqueó los puertos vulnerables en vCenter Server para evitar cualquier posible aprovechamiento de esta vulnerabilidad.
• Además, Google se asegurará de que todas las implementaciones futuras de vCenter del servidor no están expuestos a esta vulnerabilidad.
• Al momento del boletín, VMware no está al tanto de ninguna explotación "en el entorno". Si quieres conocer más detalles, consulta la documentación de VMware.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento.

• CVE-2023-34048, CVE-2023-34056

Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895 y CVE-2023-20896).

El impacto de VMware Engine

VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation).

¿Qué debo hacer?

Los clientes no se verán afectados y no es necesario que realicen ninguna acción.

• CVE-2023-20893

Intel anunció recientemente el Asesor de Seguridad de Intel INTEL-SA-00828 que afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes tus riesgos en función de la advertencia.

El impacto de VMware Engine

Nuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un solo cliente. Por eso, nuestra implementación modelo no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad.

Estamos trabajando con nuestros socios para obtener los parches necesarios y implementar estos parches con prioridad en toda la flota mediante la el proceso de actualización estándar en las próximas semanas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Estamos trabajando para actualizar todas las los sistemas afectados.

• CVE-2022-40982

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches proporcionados por VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Ten la certeza de que se instalaron los parches adecuados y tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Te recomendamos actualizar a la versión más reciente de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974