El día martes 15 de febrero de 2022, la empresa de software y servicios de virtualización VMware ha lanzado una nueva serie de actualizaciones para ESXi, Workstation, Fusion, Cloud Foundation y NSX Data Center para vSphere. Esto es debido al descubrimiento de 6 nuevas vulnerabilidades que podrían ser explotadas para ejecutar código de manera arbitraria y causar un ataque de denegación de servicio (DoS) y también el poder escalar privilegios dentro del sistema.
Hasta el momento, no existen evidencias o registros concluyentes de las vulnerabilidades haya sido explotada. La lista de los 6 fallas de seguridad son las siguientes:
- CVE-2021-22040 (puntuación CVSS: 8.4) – Vulnerabilidad «Use-after-free» en el controlador USB XHCI.
- CVE-2021-22041 (puntuación CVSS: 8.4) – Vulnerabilidad de doble búsqueda en el controlador USB UHCI.
- CVE-2021-22042 (puntuación CVSS: 8.2) – Vulnerabilidad de acceso no autorizado a la configuración de ESXi.
- CVE-2021-22043 (puntuación CVSS: 8.2) – Vulnerabilidad de ESXi settingsd TOCTOU.
- CVE-2021-22050 (puntuación CVSS: 5.3) – Vulnerabilidad de denegación de servicio HTTP POST lenta de ESXi.
- CVE-2022-22945 (puntuación CVSS: 8.8) – Vulnerabilidad de inyección de shell CLI en el componente del dispositivo NSX Edge.
Sí la explotación es realizada de manera exitosa, podría permitir a un actor malicioso con privilegios administrativos locales en una máquina virtual el poder ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. También podría permitir al adversario con acceso a settingsd escalar sus privilegios escribiendo archivos arbitrarios.
Además, el CVE-2021-22050 podría ser utilizado por un actor de amenaza con acceso a la red de ESXi para crear una condición de realizar un DoS al saturar el servicio rhttpproxy con múltiples peticiones. Por último, pero no menos importante, el CVE-2022-22945 podría permitir a un atacante con acceso SSH a un dispositivo NSX-Edge (NSX-V) ejecutar comandos arbitrarios en el sistema operativo como usuario ROOT.
Varios de los problemas se descubrieron originalmente en el marco de la Copa Tianfu (un evento de hacking análogo al popular Pwn2Own. Se inició en 2018 tras una regulación gubernamental en China que prohibía a los investigadores de seguridad del país participar en competiciones internacionales de hacking debido a preocupaciones de seguridad nacional.), celebrada el año pasado en China y el proveedor de servicios de virtualización trabajó con los organizadores del concurso para revisar los hallazgos y recibir la información de forma privada, para luego trabajar en mitigar las fallas de seguridad expuestas en el evento de la Copa Tianfu.
Se recomienda a todos los Sysadmins y organizaciones que trabajen con VMware con algunas de las aplicaciones mencionadas en el post, el instalar los nuevos parches de seguridad lo más pronto posible.
Más información
https://www.vmware.com/security/advisories/VMSA-2022-0004.html
https://www.vmware.com/security/advisories/VMSA-2022-0005.html
https://core.vmware.com/vmsa-2022-0004-questions-answers-faq#section1

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.