Vulnerabilidades K2

Contacto

Viernes, 12 Junio 2020 10:26

Vulnerabilidad en VMware

El CERT de Entelgy Innotec Security, avisa de la publicación de una vulnerabilidad en VMware.

Nivel de peligrosidad: ALTO

CVE-2020-3961: VMware ha publicado el aviso de seguridad VMSA-2020-0013 referente a una vulnerabilidad que afecta a VMware Horizon Client para Windows, producto utilizado para la virtualización de aplicaciones y escritorios. Según detalla el aviso, el error permitiría una escalada de privilegios debida a una configuración incorrecta de permisos de carpeta y a cargas inseguras de librerías. Un usuario local en el sistema donde está instalado el software podría explotar este problema y ejecutar comandos con los mismos privilegios de la sesión activa en ese momento.

La base de datos del NIST aún no ha otorgado ninguna puntuación a la vulnerabilidad en base a la escala CVSSv3.1. Sin embargo, el fabricante la ha calificado con una puntuación de 8.4, lo que supone un nivel de criticidad alto. Por el momento, no se tiene conocimiento de la existencia de pruebas de concepto o exploits disponibles sobre esta vulnerabilidad, ni reportes de su explotación activa por parte de ciberdelincuentes 

Recursos afectados:

  • VMware Horizon Client for Windows, versiones anteriores a 5.4.3 (no incluida). 

Solución a la vulnerabilidad:

VMWare ha publicado la siguiente actualización para el producto afectado:

Recomendaciones:

El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En caso de producirse alguna incidencia a la hora de aplicar la actualización descrita, se recomienda recurrir a la Documentación de VMware Horizon Client que el propio fabricante tiene disponible en su web oficial. 

Referencias:

S5 Box