Montevideo, 17 de abril de 2020.
VmWare vCenter es un sistema de manejo de máquinas virtuales, aplicación ampliamente utilizada en el ámbito corporativo para administrar recursos tecnológicos.
Recientemente se anunció una vulnerabilidad que expone información sensible de servidores VmWare vCenter. Se informa de una posible evasión de Login de usuarios en este sistema y se encuentran afectados los servidores VmWare vCenter que fueron actualizados de versiones anteriores a la versión 6.7. No están afectadas las nuevas instalaciones de esta versión, solamente los que pasaron por un proceso de migración de versión.
La vulnerabilidad crítica se encuentra en el componente vmdir el cual no maneja correctamente los controles de acceso, y por tanto permite que usuarios no autenticados logren tomar control total de la plataforma. Se recomienda aplicar los parches provistos por el fabricante.
No existen workarounds, como control compensatorio se pueden aislar y restringir los accesos a la consola de administración de vCenter. Para conocer si la instalación es vulnerable es necesario observar en los logs y buscar por el modo ACL. Dependiendo de la instalación los registros se encontrarán en /var/log/vmware/vmdird/vmdird-syslog.log o %ALLUSERSPROFILE%\VMWare\vCenterServer\logs\vmdird\vmdir.log
Allí si se encuentra una línea con el contenido "ACL MODE: Legacy" la instalación resulta vulnerable. Hay que tener en cuenta que, porque este registro se escribe al inicio, puede que el último log no lo registre, y por los rolls de logs el valor del ACL MODE se encuentre comprimido en los registros más antiguos, que habrá que descomprimir y revisar.
Si bien actualmente no hay una manera sencilla de comprometer la falla, debido a que no se divulgaron "exploits" de manera pública, esta vulnerabilidad representa un riesgo importante en el que tarde o temprano puede comprometer la información y el funcionamiento de muchas organizaciones.
Desde Datasec nos encontramos a disposición para brindar soluciones que permitan identificar y remediar este y otros tipos de vulnerabilidades que podrían estar poniendo en riesgo los activos de su organización. Pueden conocer más sobre estas y otras soluciones en nuestra web o escribirnos a: ventas@datasec-soft.com - contacto@datasec-soft.com
