Una vulnerabilidad de alta gravedad descubierta hace casi un año en VMware vCenter Server 8.0 aún no se ha reparado (se abre en una pestaña nueva)ha confirmado la compañía.
La falla, rastreada como CVE-2021-22048, se describe como una vulnerabilidad de escalada de privilegios y permite a los usuarios que no son administradores elevar sus privilegios en servidores sin parches. Se descubrió en noviembre de 2021 en el mecanismo de autenticación de Windows integrado (IWA) de vCenter Server.
Los actores de amenazas que explotan con éxito la falla pueden «comprometer por completo la confidencialidad y/o la integridad de los datos del usuario y/o los recursos de procesamiento a través de la asistencia del usuario o por parte de atacantes autenticados», se dijo en ese momento.
Soluciones alternativas disponibles
El parche aún está pendiente, pero no por falta de intentos. De hecho, VMware emitió una actualización de seguridad en julio de este año, que trató de corregir la falla de los servidores que ejecutan la versión más actualizada (que era vCenter Server 7.0 Update 3f, según BleepingComputer).
Sin embargo, la empresa se vio obligada a retirar el parche menos de quince días después porque no solucionó el problema y también provocó que el servicio de token seguro (vmware-stsd) fallara durante el parche.
«VMware ha determinado que las actualizaciones de vCenter 7.0u3f mencionadas anteriormente en la matriz de respuesta no solucionan CVE-2021-22048 e introducen un problema funcional», dijo VMware en ese momento, en su aviso de seguridad.
Hasta que el parche esté disponible, se recomienda a los administradores de TI que ejecutan los sistemas afectados que implementen una solución, cambiando de IWA a Active Directory a través de autenticación LDAP O Federación de proveedores de identidad para AD FS (vSphere 7.0).
«La autenticación de Active Directory sobre LDAP no se ve afectada por esta vulnerabilidad», dijo la compañía. «Sin embargo, VMware recomienda encarecidamente que los clientes planeen cambiar a otro método de autenticación».
Además, «Active Directory sobre LDAP no comprende las confianzas de dominio, por lo que los clientes que cambien a este método tendrán que configurar una fuente de identidad única para cada uno de sus dominios de confianza», explicó VMware. «Identity Provider Federation for AD FS no tiene esto restricción.»
Vía BleepingComputer (se abre en una pestaña nueva)