El pasado 18 de mayo VMware parcheó dos vulnerabilidades en sus productos: CVE-2022-22972 y CVE-2022-22973. Ese mismo día, dada la gravedad del asunto, el Departamento de Seguridad Nacional de los Estados Unidos (DHS) emitió un comunicado en el que obligaba a todas las agencias del Poder Ejecutivo Civil Federal (FCEB) a eliminar estas vulnerabilidades de su infraestructura instalando los parches máximo cinco días, y si esto no era posible, retirando los productos de VMware de la red de la agencia. Y, al parecer, tiene sentido seguir el ejemplo de estas agencias gubernamentales e instalar dichos parches.
¿Cuáles son estas vulnerabilidades?
Las vulnerabilidades afectan a cinco productos de la compañía: VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation y vRealize Suite Lifecycle Manager.
La primera vulnerabilidad, CVE-2022-22972, con una gravedad de 9,8 en la escala CVSS, es muy peligrosa, ya que permite al atacante obtener derechos de administrador en el sistema sin necesidad de autenticación.
La segunda vulnerabilidad, CVE-2022-22973, se relaciona con obtener privilegios. Para explotarla, los atacantes deben contar de manera previa con algunos derechos en el sistema, por esto es que su nivel de gravedad es un tanto menor, con una calificación de 7,8 en la escala CVSS. Aún así, no debemos pasarla por alto, ya que permite que los atacantes eleven sus privilegios en el sistema hasta llegar al nivel de administrador.
Recuerda, puedes encontrar información con más detalle en las FAQ oficiales sobre este tema.
Gravedad real en las vulnerabilidades CVE-2022-22973 y CVE-2022-22972
Ni a los expertos de VMware ni a los de CISA les consta todavía que se hayan explotado dichas vulnerabilidades a nivel de usuario. No obstante, hay una buena razón para las acciones de emergencia de CISA: a principios de abril, VMware corrigió varias vulnerabilidades en los mismos productos, sin embargo, al paso de 48 horas, los atacantes empezaron a explotarlas en servidores en los que el software todavía no era parcheado. Es decir, en ese momento los atacantes tardaron solo un par días en crear exploits, y claramente, hay una preocupación de que esto pueda ocurrir de nuevo.
Además, los expertos de CISA creen que alguien podría recurrir a estas dos nuevas vulnerabilidades junto con el paquete de abril (concretamente, CVE 2022-22954 y CVE 2022-22960) para llevar a cabo ataques nuevos. Por ello, exigen a todas las agencias federales que eliminen las vulnerabilidades antes de las 5:00 PM EDT del 23 de mayo de 2022.
Cómo evitar que se exploten vulnerabilidades en los productos de VMWare
VMware recomienda actualizar primero todo el software vulnerable a las versiones compatibles y, una vez hecho esto, instalar los parches. Puedes comprobar cuáles son las versiones actuales en la página VMware LogoProduct Lifecycle Matrix. Antes de instalarlos, se aconseja crear copias de seguridad o hacer capturas de los programas que necesitan ser actualizados. Los parches y los consejos de instalación se pueden encontrar en la base de conocimientos de VMware.
Es importante recordar que todos los sistemas de información con acceso a Internet deben tener instaladas soluciones confiables de seguridad. En el caso de los entornos virtuales, se debe utilizar una protección especializada.
Si buscas un nivel extra de protección, deberías utilizar soluciones que te dejen supervisar la actividad en toda la infraestructura e identificar los indicios de presencia maliciosa antes de que los atacantes tengan tiempo de atacar de verdad.