VMware, líder en virtualización y soluciones de nube, ha emitido un comunicado sobre la solución para múltiples vulnerabilidades críticas detectadas en sus productos Workstation y Fusion. Estas vulnerabilidades podrían ser aprovechadas por actores maliciosos para acceder a información confidencial, desencadenar denegaciones de servicio y ejecutar código de forma remota en ciertas circunstancias.
Detalles de las Vulnerabilidades
- CVE-2024-22267 (Puntuación CVSS: 9.3): Uso posterior a liberación en el dispositivo Bluetooth que permite a un atacante con privilegios locales ejecutar código en la máquina virtual.
- CVE-2024-22268 (Puntuación CVSS: 7.1): Desbordamiento de búfer de montón en la funcionalidad Shader, que podría resultar en una denegación de servicio en máquinas virtuales con gráficos 3D habilitados.
- CVE-2024-22269 (Puntuación CVSS: 7.1): Divulgación de información en el dispositivo Bluetooth que permite a un atacante con privilegios locales leer información sensible de la memoria del hipervisor.
- CVE-2024-22270 (Puntuación CVSS: 7.1): Divulgación de información en la funcionalidad de Compartir Archivos entre Host y Huésped (HGFS), que podría ser aprovechada por un atacante con privilegios locales para acceder a información privilegiada en la memoria del hipervisor.
Acciones Recomendadas
Para mitigar estas vulnerabilidades, se recomienda a los usuarios:
- Desactivar el soporte de Bluetooth en las máquinas virtuales.
- Deshabilitar la función de aceleración 3D.
- Actualizar a la última versión para abordar CVE-2024-22270, ya que no hay mitigaciones temporales disponibles para esta vulnerabilidad.
Origen de las Vulnerabilidades
Es relevante destacar que CVE-2024-22267, CVE-2024-22269 y CVE-2024-22270 fueron demostrados por STAR Labs SG y Theori durante el concurso de hacking Pwn2Own en Vancouver el pasado marzo.
Esta notificación llega después de que VMware lanzara parches para cuatro fallas de seguridad que afectaban a ESXi, Workstation y Fusion hace más de dos meses, incluyendo dos fallas críticas (CVE-2024-22252 y CVE-2024-22253) que podrían resultar en la ejecución de código.
Este comunicado resalta la importancia de mantenerse al día con las actualizaciones de seguridad y seguir las recomendaciones de los proveedores para garantizar la protección de los sistemas y datos.