Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a productos de VMware, que permitirían a un atacante provocar corrupción de memoria, divulgación de información, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 3 (tres) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-31696, de severidad “alta”, con puntuación de 7.5. Esta vulnerabilidad se debe a una falla existente al manejar un socket de red en VMware ESXi. Esto permitiría a un atacante local provocar corrupción de memoria en el sistema afectado.
- CVE-2022-31697, de severidad “media”, con puntuación de 6.2. Esta vulnerabilidad de divulgación de información se debe a una falla de seguridad al registrar credenciales en texto claro, es decir, sin cifrar en vCenter Server. Esto permitiría a un atacante obtener acceso a información confidencial en el sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas puede ingresar al siguiente enlace.
Los productos afectados son:
- VMWare ESXi, versiones 6.5, 6.7 y 7.0.
- VMware Cloud Foundation, versiones 3.x y 4.x.
- VMware vCenter Server, versiones 6.5, 6.7 y 7.0.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
- https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3i-release-notes.html
- https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202210001.html
- https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-202210001.html
- https://kb.vmware.com/s/article/90336
- https://kb.vmware.com/s/article/90336
Nota: Adicionalmente, VMware recomienda deshabilitar el servicio OpenSLP en ESXi en caso de no ser utilizado. Para más información acceder a su blog oficial aquí.
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1442/
- https://www.vmware.com/security/advisories/VMSA-2022-0030.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31696
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31697
- https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3i-release-notes.html
- https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202210001.html
- https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-202210001.html
- https://kb.vmware.com/s/article/90336
- https://kb.vmware.com/s/article/90336