Productos VMware - Alertas

Vulnerabilidad crítica

Productos VMware 02/08/2024

Desde el CERT del SOC de la Junta de Andalucía les informamos de que recientemente se han hecho públicos los detalles de una vulnerabilidad crítica en el producto VMware ESXi de la empresa Broadcom:

CVE-2024-37085 (VMware ESXi Active Directory Integration Authentication Bypass): la vulnerabilidad consiste en una omisión de los mecanismos de autenticación en hosts configurados previamente para usar Active Directory (AD) como mecanismo de gestión de usuarios. Un atacante con suficientes permisos en el dominio podría ganar acceso completo a estos hosts.

Desde AndalucíaCERT debemos indicarles que esta vulnerabilidad está siendo activamente explotadas por los cibercriminales.

Productos afectados

ESXi rama 8.0
ESXi rama 7.0

Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT del SOC de la Junta de Andalucía se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. En particular:

Para la rama 8.0, actualizar a la versión ESXi80U3-24022510.
Para la rama 7.0 no está prevista la salida de un parche, por lo que deberán considerar otras opciones, como migrar a una rama que cuente con actualizaciones o aplicar posibles mitigaciones.

Posibles mitigaciones

En el caso de que no puedan actualizar de forma inmediata, el fabricante facilita las siguientes mitigaciones:

Cambiar las siguientes opciones avanzadas de ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd de true a false
Config.HostAgent.plugins.vimsvc.authValidateInterval de 1440 a 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup de "ESX Admins" a ""

Nota: El grupo "ESX Admins" será añadido al host con privilegios de Admin una vez que el host se une al dominio AD. Se recomienda cambiar esa configuración antes de unirse al dominio. Esta configuración toma efecto en menos de un minuto. No se requiere reinicio.

Pueden encontrar más información en las siguientes referencias:

Boletín VMSA-2024-0013: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505
Secure Default Settings for ESXi Active Directory integration: https://knowledge.broadcom.com/external/article/369707/

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.