La empresa estadounidense de tecnología de virtualización y computación en la nube con sede en California, VMware, ha publicado una nueva serie de actualizaciones de seguridad para la vulnerabilidad crítica RCE conocida como Spring4Shell, que afecta a varios de sus productos de virtualización y servicios en general en base a Java.
Una lista de los productos de VMware afectados por Spring4Shell está disponible en un adivsory de la compañía. Cuando no hay una solución disponible, VMware lanzó una solución alternativa como solución temporal hasta la llegada de los parches de seguridad correspondientes.
Al momento de publicar esta noticia, es de gran importancia seguir los consejos proporcionados en el boletín de seguridad, ya que Spring4Shell es una vulnerabilidad explotada activamente por diferentes actores de amenazas. Para sorpresa de nadie, se filtró un exploit de una prueba de concepto (PoC) en la plataforma de Microsoft, GitHub, incluso antes de que una actualización de seguridad estuviera disponible, lo que aumentaba las posibilidades de una explotación maliciosa y ataques «sorpresa«. Situación que ocurrió y sigue siendo un foco de ataque activo por diferentes actores de amenazas.
Tweet: @1ZRRAH
La vulnerabilidad afecta a las aplicaciones de Spring MVC y Spring WebFlux, que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como una implementación de WAR, aunque las limitaciones exactas aún se encuentran bajo investigación.
| Producto | Versión | Identificador CVE | CVSSv3 | Riesgo | Versión fija | Soluciones provisionales |
| Tanzu Application Service para máquinas virtuales | 2.13 | CVE-2022-22965 | 9.8 | Crítico | 2.13.1 | Aquí |
| Tanzu Application Service para máquinas virtuales | 2.12 | CVE-2022-22965 | 9.8 | Crítico | 2.12.10 | Aquí |
| Tanzu Application Service para máquinas virtuales | 2.11 | CVE-2022-22965 | 9.8 | Crítico | 2.11.17 | Aquí |
| Servicio de aplicaciones de Tanzu | 2.10 | CVE-2022-22965 | 9.8 | Crítico | 2.10.29 | Aquí |
| Gerente de Operaciones de Tanzu | 2.10 | CVE-2022-22965 | 9.8 | Crítico | 2.10.35 | Ninguno |
| Gerente de Operaciones de Tanzu | 2.9 | CVE-2022-22965 | 9.8 | Crítico | 2.9.35 | Ninguno |
| Gerente de Operaciones de Tanzu | 2.8 | CVE-2022-22965 | 9.8 | Crítico | 2.8.20 | Ninguno |
| TKGI | 1.13 | CVE-2022-22965 | 9.8 | Crítico | Parche pendiente | KBMT KB88102 KBMTES |
| TKGI | 1.12 | CVE-2022-22965 | 9.8 | Crítico | Parche pendiente | KBMT KB88102 KBMTES |
| TKGI | 1.11 | CVE-2022-22965 | 9.8 | Crítico | Parche pendiente | KBMT KB88102 KBMTES |
Información: VMware
El proveedor ya ha puesto a disposición las actualizaciones de seguridad correspondientes para los dos primeros productos afectados, que cubren múltiples ramas de versiones con versiones puntuales, pero una solución permanente para VMware Tanzu Kubernetes Grid Integrated Edition aún se encuentra en proceso.
Más Información
Workaround instructions to address CVE-2022-22965 in TKGI v1.11 ~ v1.13 (88102) (vmware.com)
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
