La compañía VMware ha publicado un nuevo boletín de seguridad en el que da a conocer una nueva vulnerabilidad de tipo head-overflow el cual permitiría los atacantes ejecutar código arbitrario y lograr tomar control de la máquina. Marcada con el CVE-2021-22045 y de riesgo 7.7 sobre 10 en el CVSSv3 esta vulnerabilidad no es de fácil explotación ya que requiere que el sistema tenga la emulación de un puerto de CD para poder generar la explotación, sin embargo, la afectación es total
ya que permite ejecutar cualquier tipo de comando.

Resumen vulnerabilidad (Vmware)

El problema identificado por el investigador Jaanus Kääp, quien detecto y reporto la vulnerabilidad a la compañía VMware, permitiría que un atacante con acceso a una máquina virtual que tenga un dispositivo CD-ROM virtualizado, puede generar la ejecución de código arbitrario directamente por el sistema virtualizador o hipervisor. Teniendo en cuenta lo anterior, la vulnerabilidad no es fácilmente explotable ya que además de este componente (CD-ROM), el investigador indica que se tienen que dar otras condiciones que no son especificadas al público pero que son comunes sobre ambientes de virtualización. De momento, la compañía VMware indico que las versiones afectadas son: ESXI 6.5, 6.7 y 7.0 Fusion 12.x , Workstation 16.x y todas las versiones de VMware Cloud Fundation.

Opciones Virtual Hardware

Es importante indicar que la versión de ESXi 7.0 aun no cuenta con un parche, por lo cual la compañía presento una alternativa (Workaround) la cual se basa principalmente en retirar en cada una de las máquinas virtuales los dispositivos CD-ROM virtualizados. Por otro lado, para no tener que ir una a una validando si tienen o no este tipo de elementos, la compañía sugirió la utilización de los siguientes comandos para enumerar estas máquinas.

Get-VM | Get-CDDrive | Where {$_.extensiondata.connectable.connected -eq $true} | Select Parent

Una vez ejecutado este comando es posible realizar la deshabilitacion de estas unidades mediante el siguiente comando.

Get-VM | Get-CDDrive | Where {$_.extensiondata.connectable.connected -eq $true} | Set-CDDrive -NoMedia – confirm:$false

Recomendaciones:
Para las versiones ESXi 6.7 y 6.5 se recomienda actualizar a las versiones ESXi670-
202111101-SG y ESXi650-202110101-SG respectivamente, para los usuarios finales que cuentan con Workstation 16.x, se sugiere actualizar la versión a la 16.2.0 y finalmente para usuarios de MAC que cuenten con el programa Fusion 12.x, pasar a la versión 12.2.0 sería lo más aconsejable. Y por último, para los usuarios que posean ESXi 7.0 seguir el workaround indicado previamente mientras la compañía VMware distribuye el parche correspondiente que mitigue este fallo.

Versiones afectadas y parches disponibles (VWmware)

Casos de uso *:

  • Seguimiento de actividades de un posible Ataque de día Cero.
  • Acceso a Recursos en horarios no hábiles.
  • Reconocimiento y/o Vulnerabilidades

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.

Para más información puede consultar las siguientes fuentes asociadas a la noticia: