El DHS recomienda parchear VMware y tú también deberías hacerlo

El Departamento de Seguridad Nacional de los Estados Unidos pide a las agencias federales que “parcheen o eliminen” de forma urgente una lista de productos de VMware en un plazo de cinco días. Tú también deberías hacerlo.

El pasado 18 de mayo VMware parcheó dos vulnerabilidades en sus productos: CVE-2022-22972 y CVE-2022-22973. Debido a la gravedad del problema, ese mismo día, el Departamento de Seguridad Nacional de los Estados Unidos (DHS) emitió un comunicado que obligaba a todas las agencias del Poder Ejecutivo Civil Federal (FCEB) a eliminar estas vulnerabilidades en su infraestructura en un plazo de cinco días, instalando los parches y, si no fuera posible, retirando los productos de VMware de la red de la agencia. Y, por lo visto, tiene sentido seguir el ejemplo de las agencias gubernamentales estadounidenses e instalar estos parches.

¿Cuáles son estas vulnerabilidades?

Las vulnerabilidades afectan a cinco productos de la compañía: VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation y vRealize Suite Lifecycle Manager.

La primera vulnerabilidad, CVE-2022-22972, con una calificación de gravedad de 9,8 en la escala CVSS, es especialmente peligrosa y permite al atacante obtener derechos de administrador en el sistema sin ninguna autenticación.

La segunda vulnerabilidad, CVE-2022-22973, está relacionada con la obtención de privilegios. Para explotarla, los atacantes deben tener previamente algunos derechos en el sistema, por esta razón su nivel de gravedad es algo menor, con un total de 7,8 en la escala CVSS. De todas formas, no es algo que se deba pasar por alto, ya que permite a los atacantes ir elevando los privilegios en el sistema hasta el nivel de administrador.

Recuerda que puedes encontrar más información en las FAQ oficiales sobre este tema.

Gravedad real en las vulnerabilidades CVE-2022-22973 y CVE-2022-22972

Ni los expertos de VMware ni los de CISA tienen constancia todavía de que se hayan explotado estas vulnerabilidades a nivel de usuario. Sin embargo, hay una razón de peso para la directiva de emergencia de CISA: a principios de abril, VMware corrigió varias vulnerabilidades en los mismos productos, sin embargo, solo 48 horas después los atacantes empezaron a explotarlas en servidores en los que el software aún no había sido parcheado. Dicho de otra manera, en aquella ocasión los atacantes tardaron menos de dos días en crear exploits, y obviamente, existe la preocupación de que esto pueda volver a ocurrir.

Además, los expertos de CISA creen que alguien podría utilizar las dos nuevas vulnerabilidades junto con el paquete de abril (concretamente, CVE 2022-22954 y CVE 2022-22960) para realizar nuevos ataques. Por esta razón, han exigido a todas las agencias federales que eliminen las vulnerabilidades antes de las 5:00 PM EDT del 23 de mayo de 2022.

Cómo evitar que se exploten vulnerabilidades en los productos de VMWare

VMware recomienda actualizar primero todo el software vulnerable a las versiones compatibles y solo después instalar los parches. Puedes comprobar las versiones actuales en la página VMware LogoProduct Lifecycle Matrix. Antes de la instalación, se aconseja crear copias de seguridad o hacer capturas de los programas que necesitan ser actualizados. Los parches y los consejos de instalación se pueden encontrar en la base de conocimientos de VMware.

Además, no hay que olvidar que todos los sistemas de información que tienen acceso a Internet deben tener instaladas soluciones de seguridad fiables. En el caso de los entornos virtuales, se debe utilizar una protección especializada.

Si buscas un nivel extra de protección, deberías utilizar soluciones que te permitan supervisar la actividad en toda la infraestructura e identificar los indicios de presencia maliciosa antes de que los atacantes tengan tiempo de atacar de verdad.

Consejos