Llegamos a ustedes gracias a:



Alertas de Seguridad

Los operadores de infraestructuras de cloud computing

Deben corregir rápidamente la falla de VMware Cloud Director

[02/06/2020] Los administradores de la cloud pública y privada que utilizan VMware Cloud Director deben aplicar inmediatamente el parche para una vulnerabilidad de alto riesgo que pueden utilizar los hackers para tomar el control total de la infraestructura de la cloud virtualizada, advierten los expertos en seguridad. VMware publicó correcciones para el defecto de inyección de comandos el mes pasado, pero si se deja sin parchear, se puede explotar fácilmente a través de las cuentas de prueba de los clientes.

VMware Cloud Director (anteriormente vCloud Director) es una plataforma de prestación de servicios de cloud computing que permite a los proveedores de cloud, a los gobiernos o a las grandes empresas crear, implementar y gestionar centros de datos virtuales. Proporciona una interfaz de gestión basada en la web, así como una API a través de la cual los clientes pueden gestionar sus recursos de cloud virtual.

Los probadores de penetración de la consultora de seguridad Citadelo descubrieron la vulnerabilidad de VMware Cloud Director durante una auditoría de seguridad de la infraestructura de la nube basada en VMware de una organización de la lista Fortune 500 a principios de este año. Informaron de la falla -que se rastrea como CVE-2020-3956- a VMware a principios de abril, y el proveedor de software publicó parches y un aviso de seguridad en mayo.

VMware calificó el problema como 8.8 (alto) en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) y dijo que puede conducir a la ejecución arbitraria de código remoto. La falla puede ser explotada a través de las interfaces de usuario basadas en HTML5 y Flex de Cloud Director, así como su interfaz de Explorador de API y acceso a la API.

El acceso completo sin explotar el hipervisor

Cuando se trata de hipervisores, las vulnerabilidades más buscadas por los atacantes son las que les permiten escapar de las máquinas virtuales hacia los sistemas anfitriones. Esas fallas violan la capa de segmentación fundamental entre los sistemas operativos huéspedes y el host que se supone que proporciona garantías de seguridad en un entorno virtualizado.

El concurso anual de hacking Pwn2Own incluye entre sus objetivos a VMware ESXi junto con VMware Workstation y paga hasta 150 mil dólares por un escape exitoso de una máquina virtual. La empresa de adquisición de exploits Zerodium paga hasta 200 mil dólares por un exploit de este tipo.

Aunque CVE-2020-3956 no es una vulnerabilidad en el hipervisor en sí, en última instancia tiene el mismo impacto. La falla da a los hackers acceso a la base de datos del sistema, donde pueden reemplazar las credenciales de acceso para cualquier cliente existente, o para el usuario más privilegiado del sistema, lo que a su vez les da acceso a todas las máquinas virtuales y a todo el entorno de la nube.

En un ataque más sigiloso, los hackers podrían utilizar el acceso proporcionado por la vulnerabilidad para añadir una cuenta administrativa de puerta trasera. Esto podría permanecer sin ser detectado por un largo período de tiempo si la víctima no tiene un monitoreo adecuado, señaló Tomas Zatko, CEO de Citadelo.

Acceso autenticado a la nube en el mundo real

El motivo por el que la falla no se ha calificado de crítica es probable porque los atacantes necesitan técnicamente un acceso autenticado a VMware Cloud Director para explotarlo. Sin embargo, según Zatko de Citadelo, eso no es difícil de conseguir en la práctica, ya que la mayoría de los proveedores de cloud computing ofrecen cuentas de prueba a los clientes potenciales que implican el acceso a la interfaz de Cloud Director. En la mayoría de los casos tampoco existe una verificación de identidad real para dichas cuentas, por lo que los atacantes pueden obtener un acceso fácil sin proporcionar sus identidades reales.

Esto pone de relieve un problema mayor con la evaluación del riesgo basada únicamente en las puntuaciones de vulnerabilidad: Las puntuaciones de gravedad no siempre reflejan o tienen en cuenta las condiciones del mundo real, en las que los sistemas vulnerables podrían existir típicamente. Ciertas opciones de configuración o despliegue pueden hacer que una vulnerabilidad sea mucho más fácil o más difícil de explotar de lo que sugiere el puntaje de asesoramiento o del CVSS.

A Zatko le preocupa que el director de la nube de VMware no se haya tomado el asunto demasiado en serio basándose únicamente en el aviso. Más de dos semanas después de que los parches ya habían salido, su compañía probó otra organización de la lista Fortune 500 que utilizaba el producto y aún era vulnerable.

VMware aconseja a los usuarios que se actualicen a las versiones 10.0.0.2, 9.7.0.5, 9.5.0.6 o 9.1.0.4 del producto. La versión 10.1.0 no se ve afectada. La empresa también ha publicado soluciones manuales que pueden aplicarse a los despliegues que no pueden actualizarse a una nueva versión inmediatamente.