TLP: AMBER
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red.
Impacto: Ejecución de código remoto y robo de información confidencial.

Descripción

El pasado 09 de abril de 2020, VMWare liberó actualizaciones de seguridad que corrigen una vulnerabilidad en la plataforma de administración de infraestructura virtual “vCenter Server”. El identificador asignado a esta vulnerabilidad es CVE-2020-3952 v3.1 – 9.8 [Crítica].

vCenter Server proporciona a los administradores de TI una gestión centralizada por medio de una consola de host virtualizados y máquinas virtuales dentro de los entornos empresariales.

La falla está presente en “VMWare Directory Service” (vmdir) y es causada por un error de entrega a VMWare vCenter Server, como parte de un controlador de servicios de plataforma (PSC), el cual implementa incorrectamente los controles de acceso.

El nivel de impacto en esta falla radica en que puede ser aprovechada por un usuario malicioso con acceso a la red para entrar a una implementación “vmdir” afectada, obtener información confidencial de esta, y posteriormente ser utilizada para comprometer a vCenter Server, ejecutar código arbitrario en el equipo comprometido con permisos de administrador y tomar el control total del mismo.

Las implementaciones afectadas por esta falla crean una entrada de registro cuando el servicio vmdir indica que el modo “ACL” heredado está habilitado. La ubicación del archivo de registro creado es la siguiente:

  • Registro del dispositivo virtual:
    • /var/log/vmware/vmdird/vmdird-syslog.log
  • Registro de Windows:
    • % ALLUSERSPROFILE% VMWare vCenterServer logs vmdird vmdir.log

Nivel de riesgo

  • CVSS v3.1: 9.8 [Crítico]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2020-3952.

  • vCenter Server 6.7 para plataforma Windows.
  • vCenter Server 6.7 Virtual Appliance.

Medidas de contención

VMWare asegura que no se pueden implementar medidas adicionales, la única opción disponible es aplicar las actualizaciones a los productos afectados.

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por VMWare para corregir la vulnerabilidad reportada en esta alerta:

  • vCenter Server 6.7u3f.
  • vCenter Server 7.0.

Referencias