Nivel de peligrosidad: CRÍTICO.
VMware, popular software para la virtualización de sistemas operativos, ha publicado un aviso de seguridad en el que se especifica que varios de sus productos se ven afectados por 7 vulnerabilidades, siendo una de ellas catalogada como crítica, el resto han sido clasificadas como altas. Esta publicación incluye una actualización de las versiones vulnerables de los softwares afectados.
CVE |
Criticidad |
Descripción |
Producto afectado |
CVE-2022-31656 |
9.8 |
Vulnerabilidad que existe debido a un error en el proceso de autenticación que afecta a los usuarios del dominio local. Un atacante remoto no autenticado con acceso a la interfaz de usuario puede saltarse el proceso de autenticación y obtener acceso administrativo al sistema. |
VMware Workspace ONE Access Identity Manager vRealize Automation |
CVE-2022-31658 |
8.0 |
Vulnerabilidad que existe debido a una validación de entrada inadecuada al manejar la cadena JDBC. Un usuario remoto con privilegios puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. |
VMware Workspace ONE Access
Identity Manager
vRealize Automation |
CVE-2022-31659 |
8.0 |
Vulnerabilidad que existe debido a la insuficiente sanitización de los datos suministrados por el usuario. Un usuario remoto con privilegios puede enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación. |
VMware Workspace ONE Access
Identity Manager |
CVE-2022-31660
CVE-2022-31661 |
7.8 |
Vulnerabilidades que se deben a una gestión inadecuada de los privilegios. Un usuario local puede ejecutar código arbitrario con privilegios de root. |
VMware Workspace ONE Access
Identity Manager
vRealize Automation |
CVE-2022-31664 |
7.8 |
Vulnerabilidad que existe debido a una gestión inadecuada de los privilegios. Un usuario local puede ejecutar código arbitrario con privilegios de root. |
VMware Workspace ONE Access
Identity Manager
vRealize Automation |
CVE-2022-31665 |
7.6 |
Vulnerabilidad que se debe a una validación de entrada inadecuada al manejar la cadena JDBC. Un usuario remoto con privilegios puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. |
VMware Workspace ONE Access
Identity Manager
vRealize Automation |
La base de datos del NIST no ha registrado las vulnerabilidades descritas, por lo que, aún no se les ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada bajo el CVE-2022-31656 como crítica, siendo el restante calificadas como altas. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Recursos afectados:
- VMware Workspace ONE Access - 21.08.0.0 y 21.08.0.1
- VMware Workspace ONE Access Connector - 21.08.0.0 y 21.08.0.1
- Identity Manager - 3.3.6, 3.3.5 y 3.3.4
- Identity Manager Connector - 3.3.6, 3.3.5 y 3.3.4
- vRealize Suite Lifecycle Manager - 8.X
- vRealize Automation - 7.6
- Cloud Foundation - 4.4.X, 4.3.X y 4.2.X
Solución a las vulnerabilidades:
VMware ha publicado los correspondientes parches para corregir estas vulnerabilidades en los productos afectados, pudiendo descargar las correspondientes soluciones en el siguiente enlace:
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
En adición a lo anterior, el fabricante ha publicado mitigaciones alternativas relacionadas con el CVE-2022-31656, consistiendo en que los administradores deshabiliten a todos los usuarios excepto un administrador aprovisionado e inicien sesión a través de SSH para reiniciar el servicio de espacio de trabajo.
Referencias: