{"id":5807,"date":"2024-01-19T16:17:09","date_gmt":"2024-01-19T22:17:09","guid":{"rendered":"https:\/\/beaconlab.mx\/?p=5807"},"modified":"2024-10-17T17:48:03","modified_gmt":"2024-10-17T22:48:03","slug":"explotacion-activa-de-vulnerabilidad-de-ejecucion-remota-de-codigo-en-vmware","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/explotacion-activa-de-vulnerabilidad-de-ejecucion-remota-de-codigo-en-vmware\/","title":{"rendered":"Explotaci\u00f3n activa de vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en VMware"},"content":{"rendered":"

En octubre 2023 un investigador de TrendMicro hab\u00eda descubierto y publicado los detalles de una vulnerabilidad cr\u00edtica en VMware, espec\u00edficamente, en VMware vSphere. Se trata de una plataforma de gesti\u00f3n para entornos VMware, utilizada para administrar servidores y m\u00e1quinas virtuales ESX y ESXi. La vulnerabilidad, identificada como CVE-2023-34048, surge de una debilidad de escritura fuera de l\u00edmites en la implementaci\u00f3n del protocolo DCE\/RPC de vCenter ypermite que un atacante no autenticado, mediante el env\u00edo de peticiones remotas especialmente manipuladas, pueda ejecutar c\u00f3digo arbitrario, ganando el control total sobre la plataforma, sin necesidad de interacci\u00f3n por parte de ning\u00fan usuario. Cybolt hab\u00eda alertado sobre esa vulnerabilidad mediante la Alerta 2023-06.<\/a><\/p>\n

Recientemente, casi 3 meses despu\u00e9s, se ha empezado a ver que esta vulnerabilidad est\u00e1 siendo utilizada en m\u00faltiples ataques. Dada la gravedad de la situaci\u00f3n, VMware ha lanzado parches de seguridad incluso para productos que han alcanzado el final de su ciclo de vida sin soporte activo.<\/p>\n

Espec\u00edficamente, se ha reportado que diversos actores est\u00e1n tomando el control de servidores VMware y vendi\u00e9ndolos en foros de ciberdelincuencia a grupos de ransomware. Actualmente, muchos de los grupos de ransomware, tales como Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti y Akira, entre otros, se han destacado por dirigirse directamente a los servidores VMware ESXi de las v\u00edctimas para cifrar archivos y exigir cuantiosos rescates.<\/p>\n

Podemos visualizar que existen m\u00e1s de 2.200 servidores VMware Center actualmente expuestos en l\u00ednea, muchos de ellos tambi\u00e9n en M\u00e9xico, con un alt\u00edsimo potencial de riesgo latente.<\/p>\n

\"\"<\/p>\n

En aquellos casos en los que, por alguna raz\u00f3n, no se posible aplicar los parches de manera inmediata, como no existe una mitigaci\u00f3n efectiva, VMware recomienda controlar estrictamente el acceso al per\u00edmetro de la red a los componentes de administraci\u00f3n de vSphere. En caso de que su organizaci\u00f3n haya tenido la interfaz de VMware vSphere expuesta a Internet, sin parchar, se debe considerar que el mismo probablemente ya se encuentre comprometido y, por tanto, buscar indicios de compromiso no solo en el equipo sino en el resto de la red.<\/p>\n

Adem\u00e1s, es importante se\u00f1alar la importancia de un control estricto del acceso al per\u00edmetro de la red para todos los componentes e interfaces de gesti\u00f3n en vSphere, as\u00ed como para los componentes relacionados como los de red y almacenamiento. La empresa advierte sobre los puertos espec\u00edficos (2012\/TCP, 2014\/TCP y 2020\/TCP) vinculados a posibles explotaciones en ataques dirigidos a esta vulnerabilidad.<\/p>\n

 <\/p>\n

 <\/p>\n

Fuentes:<\/p>\n

Alerta Cybolt 2023-06<\/a><\/p>\n

Bleeping Computer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

En octubre 2023 un investigador de TrendMicro hab\u00eda descubierto y publicado los detalles de una vulnerabilidad cr\u00edtica en VMware, espec\u00edficamente, en VMware vSphere. Se trata de una plataforma de gesti\u00f3n para entornos VMware, utilizada para administrar servidores y m\u00e1quinas virtuales ESX y ESXi. La vulnerabilidad, identificada como CVE-2023-34048, surge de una debilidad de escritura fuera […]<\/p>\n","protected":false},"author":2,"featured_media":5809,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[48],"tags":[],"class_list":["post-5807","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/5807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/comments?post=5807"}],"version-history":[{"count":2,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/5807\/revisions"}],"predecessor-version":[{"id":5831,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/5807\/revisions\/5831"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/5809"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=5807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/categories?post=5807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/tags?post=5807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}