«Eso requiere su atención inmediata.» – Pura seguridad

La última actualización de seguridad de VMware contiene parches para 19 vulnerabilidades diferentes numeradas CVE que afectan las vulnerabilidades de seguridad de la empresa. servidor vCenter y Fundación en la nube Productos.

Todos los errores pueden considerarse fatales; de lo contrario, no se incluirían en un aviso de seguridad oficial, pero VMware ha identificado uno de ellos, llamado uno. CVE-2021-22005, como más crítico que los demás.

De hecho, las preguntas frecuentes oficiales de VMware para el aviso de seguridad VMSA-2021-0020 requieren lo siguiente:

En particular, la empresa declara:

VMware lo dice sin rodeos «Esto requiere su atención inmediata»,, y creemos que es bueno que un proveedor de software hable sobre las respuestas de ciberseguridad en un inglés sencillo en lugar de piratear sus palabras.

Explicación de las vulnerabilidades de carga

En general, las vulnerabilidades de carga de archivos surgen cuando un usuario que no es de confianza puede cargar archivos de su propia elección …

… pero estos archivos que no son de confianza se almacenan en una ubicación donde el servidor los trata como archivos de confianza, puede ejecutarlos como scripts o programas, o usarlos para reconfigurar la configuración de seguridad en el servidor.

Un ejemplo clásico de este tipo de piratería es lo que se llama Webshellcómo se usó indebidamente en el infame ataque HAFNIUM en los servidores de Microsoft Exchange a principios de 2021:

En este ataque, los ciberdelincuentes cargaron archivos de texto de apariencia inocente que en realidad eran scripts del lado del servidor.

Por lo general, cuando visita la URL de un servidor web que corresponde directamente a un archivo en ese servidor, simplemente obtiene el contenido de ese archivo enviado de vuelta.

Sin embargo, si las secuencias de comandos del lado del servidor están habilitadas y el archivo es una secuencia de comandos, el servidor ejecutará la secuencia de comandos localmente y utilizará la salida de la secuencia de comandos como contenido web para enviar de vuelta, lo que convierte el archivo cargado en un vehículo para ejecutar un ataque de ejecución de código remoto. .

Obviamente, cargar archivos que no deberían estar allí ya es lo suficientemente peligroso, pero cuando los archivos no confiables pueden ser cargados por usuarios no autenticados y el servidor luego ejecuta esos archivos, es como si acabara de otorgar acceso de administrador a cualquiera que lo desee, sin contraseña.

¿Qué tengo que hacer?

Cómo VMware se esfuerza por explicar: parchear temprano, parchear a menudo!

Si aún no puede o no quiere parchear, VMware le ha proporcionado una solución temporal que deshabilitará el código vulnerable en los sistemas VMware vCenter afectados.

Para hacer esto, debes cambiar el archivo de configuración /etc/​vmware-analytics/​ph-web.xmly comenta algunas partes para evitar que se ejecuten varios complementos de servidor vulnerables.

Entonces tienes que reiniciar eso vmware-analytics Servicio.

VMware ha lanzado varios scripts de Python que realizarán estos cambios por usted y le darán instrucciones completas sobre cómo editar manualmente el archivo.

Si bien hay una solución alternativa confiable disponible, todavía estamos siguiendo los consejos de VMware de parchear ahora y solo usamos la solución como último recurso.

La actualización de seguridad VMSA-2021-0020 contiene 18 correcciones de seguridad adicionales, como mejoras de privilegios y errores de omisión de seguridad.

La escalada de privilegios generalmente significa que un usuario de bajo nivel puede actualizar sigilosamente para obtener privilegios administrativos, y las fallas de omisión de seguridad generalmente permiten que los datos que deberían ser secretos sean eliminados del sistema por usuarios no autorizados.

¿Por qué no parchearlo ahora y adelantarse 19 pasos?