Además, se publicaron parches para omisiones de autenticación en siete enrutadores de ASUS y en Veeam Recovery Orchestrator.
VMware corrige falla crítica de vCenter Server
VMware ha emitido un aviso de seguridad para abordar vulnerabilidades críticas en vCenter Server, incluyendo fallos de ejecución remota de código y escalada de privilegios locales.
VMware vCenter Server es una plataforma central de gestión para VMware vSphere, que permite la administración de máquinas virtuales y hosts ESXi. Las vulnerabilidades fueron identificadas como CVE-2024-37079, CVE-2024-37080 y CVE-2024-37081, y afectan a las versiones 7.0 y 8.0 de vCenter Server y a las versiones 4.x y 5.x de VMware Cloud Foundation.
Las vulnerabilidades CVE-2024-37079 y CVE-2024-37080 son fallos de desbordamiento en la implementación del protocolo DCERPC de vCenter Server, y permiten que actores maliciosos con acceso a la red puedan enviar paquetes podrían resultar en la ejecución remota de código. Ambos fallos críticos tienen una puntuación de 9.8″. La vulnerabilidad CVE-2024-37081 surge de una mala configuración de sudo en vCenter Server, permitiendo a un usuario local autenticado elevar sus privilegios a root en el vCenter Server Appliance. Tiene una puntuación de 7.8, clasificada como «alta».
Las actualizaciones de seguridad están disponibles en VMware vCenter Server 8.0 U2d, 8.0 U1e y 7.0 U3r, y los parches para Cloud Foundation se han distribuido a través de KB88287. VMware indica que la actualización de vCenter Server no afecta a las cargas de trabajo o máquinas virtuales en ejecución.
ASUS advierte sobre omisión crítica de autenticación remota en 7 enrutadores
ASUS ha lanzado una actualización de firmware que corrige una vulnerabilidad crítica identificada como CVE-2024-3080, que afecta a 7 modelos de enrutadores, permitiendo a atacantes remotos iniciar sesión y tomar control de los dispositivos.
Los modelos afectados incluyen los enrutadores ZenWiFi AX XT8, RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U y RT-AC68U. ASUS instó a los usuarios a actualizar sus dispositivos a las versiones más recientes de firmware disponibles en sus portales de descarga y proporciona instrucciones detalladas en su página de preguntas frecuentes.
Además del CVE-2024-3080, el paquete de actualización aborda CVE-2024-3079, una vulnerabilidad de desbordamiento del búfer que requiere acceso a una cuenta de administrador para ser explotada. ASUS también recomienda a los usuarios que no puedan actualizar de inmediato que aseguren sus contraseñas y deshabiliten varias funciones de acceso remoto y administración.
Otra vulnerabilidad crítica, identificada como CVE-2024-3912, y relacionada con la carga de firmware arbitraria, también fue abordada. En el caso de los modelos de enrutadores afectados que han llegado al final de su vida útil, estos no recibirán actualizaciones, y el fabricante recomendó su reemplazo.
Finalmente, ASUS lanzó una nueva versión de Download Master, una utilidad para la gestión y descarga de archivos en los enrutadores ASUS, el que corrige cinco problemas de seguridad de gravedad media a alta, como la carga de archivos arbitrarios y la inyección de comandos del sistema operativo. El fabricante aconsejó los clientes actualizar a la versión 3.1.0.114 o posterior para asegurar una protección óptima.
Disponible parche para exploit por omisión de autenticación de Veeam Recovery Orchestrator
Un investigador de seguridad ha lanzado un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de omisión de autenticación en Veeam Recovery Orchestrator, identificada como CVE-2024-29855. Esta vulnerabilidad permite a atacantes no autenticados iniciar sesión en la interfaz web de VRO con privilegios administrativos.
La falla se debe al uso de un secreto de JSON Web Token (JWT) codificado de manera estática, lo que facilita la generación de tokens válidos para cualquier usuario, incluidos los administradores.
El boletín de seguridad de Veeam sugiere actualizar a las versiones corregidas 7.1.0.230 y 7.0.0.379 y detalla las condiciones necesarias para explotar la vulnerabilidad, como conocer un nombre de usuario y rol válidos y apuntar a un usuario con una sesión activa. Sin embargo, el investigador Sina Kheirkhah demostró que algunos de estos requisitos se pueden eludir con relativa facilidad.
Dado que el exploit para CVE-2024-29855 está ahora disponible públicamente, es probable que los atacantes intenten aprovecharlo contra sistemas no parcheados.
Sina Kheirkhah sugiere técnicas como la iteración de roles y la prueba de tokens JWT en varios rangos de tiempo para aumentar las posibilidades de encontrar una sesión activa.