Fecha de publicación: 16 septiembre 2019
Gravedad: Alta
Clasificación de gravedad: CVSS v3
Productos afectados:
• VMware vSphere ESXi (ESXi)
• VMware vCenter Server (vCenter)
Descripción:
Las actualizaciones de VMware ESXi y vCenter Server corrigen la inyección de comandos y las vulnerabilidades de divulgación de información. Enunciadas a continuación.
• CVE-2017-16544: vulnerabilidad de inyección de comandos de VMware ESXi
• CVE-2019-5531: ESXi Host Client, vCenter vSphere Client y vCenter vSphere Web Client vulnerabilidad de divulgación de información
• CVE-2019-5532: vulnerabilidad de divulgación de información del servidor VMware vCenter
• CVE-2019-5534: vulnerabilidad de divulgación de información de VMware vCenter Server en las propiedades de vAppConfig
A continuación, se describen las soluciones para cada vulnerabilidad:
- Vulnerabilidad de inyección de comandos de VMware ESXi ‘busybox’ – CVE-2017-16544 Descripción:
ESXi contiene una vulnerabilidad de inyección de comandos debido al uso de una versión vulnerable de busybox que no desinfecta los nombres de archivo, lo que puede provocar la ejecución de cualquier secuencia de escape en el shell. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad moderada con un puntaje base CVSSv3 máximo de 6.7.
Vectores de ataque conocidos:
Un atacante puede explotar este problema engañando a un administrador de ESXi para que ejecute comandos de shell proporcionando un archivo malicioso.
Resolución:
Realizar las actualizaciones de CVE-2017-16544 a las versiones enumeradas en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
Producto Versión Identificador de CVE CVSSV3 Gravedad Versión fija
| Producto | Versión | Identificador de CVE | CVSSV3 | Gravedad | Versión fija |
| ESXi | 6.7 | CVE-2017-16544 | 6.7 | Moderado | ESXi670-201904101-SG |
| ESXi | 6.5 | CVE-2017-16544 | 6.7 | Moderado | ESXi650-201907101-SG |
| ESXi | 6.0 | CVE-2017-16544 | 6.7 | Moderado | ESXi600-201909101-SG |
| ESXi | 6.7 | CVE-2017-16544 | 6.7 | Moderado | ESXi670-201904101-SG |
Recopilado de: https://www.vmware.com/security/advisories/VMSA-2019-0013.html
Descargas y Documentación:
ESXi 6.0, Patch
Release ESXi600-201909001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201909001.html
- Vulnerabilidad de divulgación de información de vCenter vSphere Client y vCenter vSphere Web Client, ESXi Host Client – CVE-2019-5531
Descripción:
Una vulnerabilidad de divulgación de información en clientes que surge de una caducidad de sesión insuficiente. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad moderada con una puntuación base máxima de CVSSv3 de 4.2.
Afectados:
- ESXi VMware Host Client (6.7, 6.5, 6.0).
- vCenter Server vSphere Client (HTML5) (6.7, 6.5).
- vCenter Server vSphere Web Client (FLEX / Flash) (6.7, 6.5, 6.0).
Vectores de ataque conocidos:
Un atacante con acceso físico o la capacidad de imitar una conexión websocket al navegador de un usuario puede obtener el control de una consola VM después de que el usuario haya cerrado sesión o su sesión haya expirado.
Resolución:
Realizar las actualizaciones de CVE-2019-5531 a las versiones enumeradas en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
| Producto | Versión | Identificador de CVE | CVSSV3 | Gravedad | Versión fija |
| ESXi | 6.7 | CVE-2019-5531 | 4.2 4.2 | Moderado | ESXi670-201904101-SG |
| ESXi | 6.5 | CVE-2019-5531 | 4.2 4.2 | Moderado | ESXi650-201907101-SG |
| ESXi | 6.0 | CVE-2019-5531 | 4.2 4.2 | Moderado | ESXi600-201909101-SG |
| vCenter | 6.7 | CVE-2019-5531 | 4.2 4.2 | Moderado | 6.7 U1b |
| vCenter | 6.5 | CVE-2019-5531 | 4.2 4.2 | Moderado | 6.5 U2b |
| vCenter | 6.0 | CVE-2019-5531 | 4.2 4.2 | Moderado | 6.0 U3j |
Recopilado de: https://www.vmware.com/security/advisories/VMSA-2019-0013.html
Descargas y Documentación:
ESXi 6.0, Patch
Release ESXi600-201909001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201909001.html
vCenter 6.7 U1b
https://my.vmware.com/group/vmware/details?downloadGroup=VC67U1B&productId=742
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u1b-release-notes.html
vCenter 6.5 U2b
https://my.vmware.com/group/vmware/details?downloadGroup=VC65U2B&productId=614&rPId=24466
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u2b-release-notes.html
vCenter 6.0 U3j
https://my.vmware.com/web/vmware/details?downloadGroup=VC60U3J&productId=491
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/vsphere-vcenter-server-60u3j-release-notes.html
- Vulnerabilidad de divulgación de información de VMware vCenter Server – CVE-2019-5532
Descripción:
VMware vCenter Server contiene una vulnerabilidad de divulgación de información debido al registro de credenciales en texto sin formato para máquinas virtuales implementadas a través de OVF. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad importante con una puntuación de base CVSSv3 máxima de 7.7.
Vectores de ataque conocidos:
Un usuario malintencionado con acceso a los archivos de registro que contienen propiedades de vCenter OVF de una máquina virtual implementada desde un OVF puede ver las credenciales utilizadas para implementar el OVF (generalmente la cuenta raíz de la máquina virtual).
Resolución:
Para remediar CVE-2019-5532, actualice a las versiones enumeradas en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
| Producto | Versión | Identificador de CVE | CVSSV3 | Gravedad | Versión fija |
| vCenter | 6.7 | CVE-2019-5532 | 7.7 | Importante | 6.7 U3 |
| vCenter | 6.5 | CVE-2019-5532 | 7.7 | Importante | 6.5 U3 |
| vCenter | 6.0 | CVE-2019-5532 | 7.7 | Importante | 6.0 U3j |
Recopilado de: https://www.vmware.com/security/advisories/VMSA-2019-0013.html
Soluciones alternativas:
Si la contraseña de la cuenta de implementación (generalmente raíz) se cambia en la máquina virtual después de la implementación de OVF, las credenciales almacenadas en las propiedades de vCenter OVF ya no serán válidas y no podrán utilizarse para acceder a la máquina virtual.
Descargas y Documentación:
vCenter 6.5 U3
https://my.vmware.com/web/vmware/details?productId=614&downloadGroup=VC65U3
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3-release-notes.html
vCenter 6.0 U3j
https://my.vmware.com/web/vmware/details?downloadGroup=VC60U3J&productId=491
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/vsphere-vcenter-server-60u3j-release-notes.html
- Vulnerabilidad de divulgación de información en las propiedades de vAppConfig (CVE-2019-5534)
Descripción:
Las máquinas virtuales implementadas desde un OVF podrían exponer información de inicio de sesión a través de las propiedades vAppConfig de la máquina virtual. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad importante con una puntuación de base CVSSv3 máxima de 7.7.
Vectores de ataque conocidos:
Un actor malicioso con acceso para consultar las propiedades de vAppConfig de una máquina virtual implementada desde un OVF puede ver las credenciales utilizadas para implementar el OVF (generalmente la cuenta raíz de la máquina virtual).
Resolución:
Para mitigar actualizar a las versiones enumeradas en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
| Producto | Versión | Identificador de CVE | CVSSV3 | Gravedad | Versión fija |
| vCenter | 6.7 | CVE-2019-5534 | 7.7 | Importante | 6.7 U3 |
| vCenter | 6.5 | CVE-2019-5534 | 7.7 | Importante | 6.5 U3 |
| vCenter | 6.0 | CVE-2019-5534 | 7.7 | Importante | 6.0 U3j |
Recopilado de: https://www.vmware.com/security/advisories/VMSA-2019-0013.html
Soluciones alternativas:
La información almacenada en las propiedades de vAppConfig se captura en el momento de la implementación. Si la contraseña de la cuenta de implementación (normalmente raíz) se cambia en la máquina virtual después de la implementación del OVF, las credenciales almacenadas en las propiedades de vAppConfig ya no serán válidas y no podrán utilizarse para acceder a la máquina virtual.
Descargas y Documentación:
vCenter 6.5 U3
https://my.vmware.com/web/vmware/details?productId=614&downloadGroup=VC65U3
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3-release-notes.html
vCenter 6.0 U3jhttps://my.vmware.com/web/vmware/details?downloadGroup=VC60U3J&productId=491
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/vsphere-vcenter-server-60u3j-release-notes.html
Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: http://www.cert.pa