Se han divulgado múltiples vulnerabilidades de severidad alta CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, del tipo Cross-Site Scripting Almacenado (Stored XSS) que afectan a la consola de administración y portales de gestión de soluciones de VMware (by Broadcom). Los fallos permiten a atacantes autenticados con privilegios mínimos inyectar scripts maliciosos de forma permanente en las interfaces web de la plataforma. Cuando un usuario con roles administrativos o de mayor jerarquía accede a las secciones comprometidas, el script se ejecuta automáticamente en su navegador, permitiendo el secuestro de cookies de sesión corporativas y la manipulación de la infraestructura virtual.
Veredicto Analítico
- Estado: Confirmado (Parches oficiales de seguridad y boletines de mitigación disponibles por el fabricante).
- Confianza: Alta (Basado en los avisos de seguridad oficiales del equipo de respuesta a incidentes de VMware – VMSA).
- Riesgo para SOC TDIR: Alto. El compromiso del navegador de un administrador de VMware mediante un ataque XSS le otorga al atacante la capacidad de realizar peticiones administrativas legítimas en su nombre (CSRF secundario), lo que puede traducirse en la creación de usuarios no autorizados, apagado de máquinas virtuales críticas o alteración de configuraciones del hipervisor.
- Urgencia operativa: Alta. Al tratarse de consolas que orquestan entornos de virtualización completos, las fallas que faciliten la escalada horizontal o el secuestro de sesiones de infraestructura de cómputo deben ser remediadas de inmediato.
- Base del veredicto: La validación técnica de que las entradas de texto en ciertos formularios de configuración de la interfaz web de VMware eran almacenadas en la base de datos sin una sanitización ni codificación de salida (output encoding) adecuada.
Hallazgos Clave
- Naturaleza de los Fallos: Vulnerabilidades de Cross-Site Scripting Almacenado (Stored XSS / HTML Injection).
- Mecanismo de Persistencia: A diferencia del XSS reflejado, el script dañino se guarda permanentemente en el servidor web de la aplicación (por ejemplo, en campos de descripción de activos, nombres de políticas o registros de bitácoras), afectando de manera pasiva y recurrente a cualquier operador que consulte dicho recurso.
- Impacto Directo: Exfiltración automatizada de tokens de sesión (Session IDs), elusión de políticas de Same-Origin Policy (SOP) dentro del contexto de la consola e inyección de formularios falsos de inicio de sesión (phishing interno).
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El atacante requiere una cuenta con permisos para editar o introducir datos en campos específicos de la interfaz gráfica de VMware. El actor inserta una carga útil de JavaScript maliciosa (por ejemplo, estructurada en etiquetas <script> o atributos de eventos maliciosos como onload/onerror). Debido a la falta de validación del lado del servidor, el texto se almacena de forma íntegra. Posteriormente, cuando un administrador del centro de datos abre la interfaz de monitoreo para revisar las configuraciones o logs, el navegador procesa la base de datos y ejecuta el script del atacante de manera invisible bajo el contexto de su sesión de alta confianza.
TTPs (MITRE ATT&CK):
- Acceso Inicial / Persistencia: Almacenamiento de código no confiable en la aplicación base (Exploit Public-Facing Application).
- Ejecución: Ejecución de scripts a través del navegador de la víctima (Cross-Site Scripting / User Execution).
- Acceso a Credenciales: Secuestro de identificadores de cookies y tokens de acceso (Credentials from Web Browsers).
- Contexto de la Amenaza: En el panorama de CTI, los ataques dirigidos a las interfaces de administración de los hipervisores son de alta prioridad. Los atacantes aprovechan que las soluciones de virtualización a menudo están excluidas de un monitoreo web detallado a nivel de aplicación interna, usando el XSS para “saltar” las barreras de red perimetrales apoyándose en las credenciales activas del personal técnico de la empresa.
Recomendaciones Operativas
Para Administradores de Sistemas / DevOps (Acción Inmediata)
- Aplicación Obligatoria de Parches: Revisar el boletín de seguridad específico (VMSA) emitido por VMware y aplicar de forma urgente los parches de actualización o rollups correspondientes sobre las consolas de administración afectadas.
- Habilitar Cabeceras de Seguridad HTTP: Validar que los servidores web que alojan las consolas de VMware tengan implementadas cabeceras de protección estrictas, específicamente Content Security Policy (CSP) bien configuradas para restringir la ejecución de scripts inline no autorizados o la carga de librerías desde dominios externos.
Para el SOC (Monitoreo y Detección)
- Auditoría de Inicios de Sesión Administrativos: Configurar alertas ante comportamientos anómalos que muestren acciones administrativas complejas (como la creación de nuevos usuarios con rol de vSphere Administrator o descargas masivas de plantillas) realizadas en horarios inusuales inmediatamente después de que un administrador haya consultado paneles de control de logs o configuraciones de red compartidas.
- Monitoreo de Exfiltración por Red: Supervisar mediante el proxy o sistemas IDS la presencia de peticiones HTTP salientes inusuales originadas desde las estaciones de trabajo de los administradores hacia dominios externos desconocidos, las cuales suelen transportar los tokens extraídos por scripts XSS.
Para CTI (Inteligencia de Amenazas)
- Actualización de Perfiles de Superficie: Mantener un mapeo estricto de todas las URLs y puertos de administración de los entornos VMware (como la interfaz web de vCenter o consolas NSX), garantizando de forma mandatoria que bajo ninguna circunstancia se encuentren visibles de cara a la Internet pública y operen estrictamente bajo segmentos controlados con accesos MFA/ZTNA.
