Fallas críticas de ejecución de código en VMware

VMware envía en su primer boletín de seguridad para el 2023 parche para múltiples fallas de nivel  critico que exponen las empresas a ataques de ejecución de código remoto, los efectos de seguridad  que afectan a los usuarios de VMware vRealize Log Insight podrían ser explotados por atacantes no  autenticados para tomar el control total de un sistema de destino. 

¿Qué es vRealize Log Insight? 

vRealize Log Insight de VMware es un dispositivo virtual utilizado para el análisis y recopilación de  registro que utilizan los administradores para gestionar los datos de Syslog, Ha sido diseñado  específicamente para su uso en un centro de datos heterogéneo y un entorno de nube híbrida,  proporciona la agilidad y control en TI manteniendo la infraestructura y aplicaciones seguras. 

¿Cómo opera el atacante? 

El actor malicioso no autenticado puede inyectar archivos en el sistema operativo del dispositivo afectado permitiendo así la ejecución remota de código. una de las cuatro fallas tiene una  puntuación de gravedad de CVSS 9.8 sobre 10, la compañía de palo alto “California” describe las fallas en (CVE-2022-31706, CVE-2022-31704, CVE-2022-31710 y CVE-2022-31711). 

PATH TRAVERSAL CVE-ID: CVE-2022-31706 “Riesgo alto”: Debido a la vulnerabilidad, hay una vulnerabilidad en la validación de entrada que causa secuencias  transversales de directorio dentro de la API REST de vRNI durante la ejecución. El atacante desde una ubicación remota puede acceder a archivos arbitrarios enviado solicitudes a través de HTTP, el  cual podía llevar ataques transversales de directorio. 

CONTROL DE ACCESO INADECUADO CVE-ID: CVE-2022-31704 “Riesgo Critico”: Debido a la vulnerabilidad, el Atacante puede obtener acceso al sistema, debido a la  implementación de Límites de acceso inadecuados, el atacante puede eludir las restricciones de  seguridad y ejecutar código arbitrario en el sistema. 

DESERIALIZACIÓN DE DATOS NO CONFIABLES CVE-ID: CVE-2022-31710 “Riesgo medio”: Debido a la vulnerabilidad, el atacante remoto no autorizado puede realizar un ataque de  denegación de servicios (Dos) enviando datos especialmente preparados, al procesar los datos  serializados la validación de entrada no era tan segura que condujo a la vulnerabilidad.

DIVULGACION DE INFORMACION CVE-ID: CVE-2022-31711 “Riesgo Medio”: Debido a la vulnerabilidad, el atacante externo puede tener acceso a la información confidencial la causa raíz es el programa que genera una enorme cantidad de datos, una vez el atacante tiene el  acceso no autorizado puede obtener información de las sesiones y aplicaciones. 

NOTA: VMware realiza remediación de estas cuatro vulnerabilidades con su última actualización lanzada las versiones de vRealize Log Insight: 8.0.0 a 8.10 son las que son vulnerables a los ataques. 

¿Qué debo hacer? 

  • Verificar la versión de vRealize Log Insight de VMware de ser inferior o igual a la versión 8.0.0. a 8.10 Aplicar la actualización de la versiones recomendada. 
  • Enlace de actualización https://www.vmware.com/security/advisories/VMSA-2023- 0001.html 

Imagen 1 – aviso VMSA-2023-0001 VMware noticia parche de seguridad, tomado de VMware Entornos Multinube 

Matrix de respuesta 

Imagen 2 – aviso VMSA-2023-0001 VMware Matrix de respuesta, tomado de VMware Entornos Multinube 

Fuentes de investigación:

Securityweek 

Noticiasseguridad 

Vmware