Las vulnerabilidades de seguridad son como puertas traseras que nadie quiere dejar abiertas, especialmente cuando se trata de infraestructuras clave. Recientemente, Broadcom ha abordado una de estas fallas críticas en VMware vCenter Server, una plataforma utilizada por miles de organizaciones para gestionar sus entornos virtualizados. La vulnerabilidad de ejecución remota de código (RCE) que ha sido corregida podría haber permitido a atacantes controlar servidores de forma remota, comprometiendo no solo la integridad del sistema, sino también toda la infraestructura virtual bajo su gestión.
vCenter Server es el corazón de la gestión en la suite vSphere de VMware, lo que permite a los administradores controlar y monitorear toda su infraestructura virtual. Sin embargo, recientemente se ha detectado una vulnerabilidad crítica, la CVE-2024-38812, que fue descubierta por los investigadores de seguridad de TZL durante el concurso de hacking Matrix Cup 2024 en China. Esta falla se debe a un desbordamiento de pila en el protocolo DCE/RPC de vCenter y afecta no solo a vCenter Server, sino también a productos como VMware vSphere y VMware Cloud Foundation.
El problema es grave: los atacantes no necesitan autenticarse y pueden explotarlo de manera remota mediante ataques de baja complejidad, simplemente enviando un paquete de red especialmente diseñado, lo que podría llevar a la ejecución remota de código en el servidor comprometido. Afortunadamente, VMware ya ha lanzado parches de seguridad para corregir esta vulnerabilidad. Estos están disponibles a través de los métodos habituales de actualización de vCenter Server.
"Para proteger completamente a su organización, instale una de las versiones de actualización que se detallan en el Aviso de seguridad de VMware", indicó la compañía. Además, mencionaron que, aunque podrían existir otras medidas de mitigación basadas en la configuración de seguridad de cada organización, como estrategias de defensa en profundidad y configuraciones de firewall, es crucial que cada empresa evalúe estas protecciones según sus necesidades específicas.
Podría interesarte leer: Administración Automatizada de Parches con TecnetProtect
Las vulnerabilidades CVE-2024-38812 y CVE-2024-38813 afectan a varias versiones de productos clave de VMware. En particular, impactan a:
Si tu organización utiliza alguna de estas versiones, es altamente recomendable que instales los parches disponibles para proteger tus sistemas y evitar posibles explotaciones.
Hasta el momento, no se ha informado de ningún caso de explotación activa de estas vulnerabilidades. El aviso de VMware no menciona incidentes relacionados con la explotación de CVE-2024-38812 o CVE-2024-38813. Sin embargo, es crucial que las organizaciones apliquen los parches lo antes posible, ya que una vez que los detalles de estas vulnerabilidades se hagan públicos, el riesgo de explotación aumenta.
Las siguientes versiones corrigen las vulnerabilidades CVE-2024-38812 y CVE-2024-38813:
No existen soluciones alternativas, por lo que es esencial aplicar estas actualizaciones para proteger tus sistemas de posibles ataques. Para obtener más detalles y seguir las instrucciones de actualización, puedes consultar el aviso oficial de VMware.
Conoce más sobre: Identificando vulnerabilidades: El poder de las CVE
GitLab ha corregido recientemente una vulnerabilidad grave, la CVE-2024-45409 (calificada con un CVSS de 10), que afecta tanto a la Community Edition (CE) como a la Enterprise Edition (EE). Esta falla podría permitir a los atacantes obtener acceso no autorizado a proyectos y código fuente confidenciales dentro de instancias de GitLab, lo que representa un riesgo significativo para las organizaciones que dependen de esta plataforma.
El problema se debe a un error en la verificación de firmas en ciertas versiones de la biblioteca ruby-saml, que gestiona la autenticación SAML en GitLab. Esto permite que los atacantes no autenticados puedan falsificar una respuesta SAML y acceder a GitLab como si fueran cualquier usuario, saltándose las verificaciones de autenticación por completo.
Las versiones afectadas de la biblioteca incluyen:
Si esta vulnerabilidad no se soluciona, los atacantes podrían eludir la autenticación y obtener acceso a repositorios sensibles en GitLab, lo que podría tener graves consecuencias para la seguridad del desarrollo y la gestión del código fuente.
GitLab ha lanzado actualizaciones para corregir esta vulnerabilidad, incluyendo una actualización de la dependencia omniauth-saml a la versión 2.2.1 y de la biblioteca ruby-saml a la versión 1.17.0. Las instancias afectadas deben actualizarse inmediatamente a una de las siguientes versiones parcheadas:
Dado el alto riesgo que supone esta vulnerabilidad, que podría permitir a un atacante obtener acceso remoto no autenticado, es fundamental aplicar estas actualizaciones cuanto antes para evitar posibles compromisos de seguridad.
Conoce más sobre: ¿Cómo Priorizar los Parches de Software Eficazmente?
Para mitigar el riesgo de esta vulnerabilidad, GitLab recomienda a los usuarios autoadministrados tomar dos medidas importantes:
Habilitar la autenticación de dos factores (2FA) para todas las cuentas de usuario de la instancia. Es fundamental usar la 2FA integrada de GitLab, ya que la autenticación multifactor (MFA) proporcionada por proveedores de identidad externos no mitigará esta vulnerabilidad específica.
Deshabilitar la opción "SAML Two-Factor Bypass" en GitLab. Esto evita que los atacantes aprovechen esta función para saltarse capas adicionales de seguridad.
Al implementar estas medidas, las organizaciones pueden reforzar sus defensas y reducir significativamente el riesgo de que esta vulnerabilidad sea explotada. Si tu organización utiliza VMware vCenter Server o GitLab, asegúrate de aplicar los parches correspondientes y revisar tus políticas de seguridad.