(Por Rubén Borlenghi, el Microsaurio) Virtualizar o no virtualizar… Tanta publicidad, tanto ahorro de costos, y la seguridad… bien, gracias. Porque si tengo cuatro sistemas corriendo virtualizados dentro de una máquina, tengo tantas puertas abiertas como sistemas operativos estén corriendo; más el anfitrión. ¿Una muestra? Seguí leyendo… porque ni siquiera el actualizador se salva…
Primero apareció la Nota de Seguridad VMSA-2011-0014, que podrás disfrutar en la página correspondiente del website oficial de VMware.
Para alegrar la vida de l@s amig@s administrad@res de sistemas (¡oh, cuán políticamente correcto me he puesto!) que trabajan con virtualización, de la información provista por la empresa pude deducir que:
- Hay una solución automatizada de administración de actualizaciones para los hosts VMware ESX y las máquinas virtuales Microsoft
- Ese administrador de actualizaciones, llamado Update Manager, (muy originales…) contiene un componente llamado Jetty Web Server cuyos detalles de diseño, luego de una paciente búsqueda, pude leer acá
- Un hacker les avisó que Jetty Web Server tiene una falla de seguridad.
Ergo, las instalaciones de VMware están afectadas.
Productos que hay que actualizar: Update Manager 4.0 para Windows debe recibir “Update 4”; Update Manager 4.1 para Windows debe recibir “Update 2”
Los productos que contengan Update Manager 5 no están afectados
Los links que apuntan a las actualizaciones están en la página oficial que les señalé ahí arriba.
Pero ahí no termina la cosa.
Se me ocurrió pasearme por Ciertos Websites donde (sólo por razones educativas) algunos hackers acostumbran postear sus hallazgos, a fin de demostrar cuánto son de trabajadores, perseverantes… y todo ese bla bla.
Y me encontré con una nota que no pienso copiar acá, remitida alegremente por don Alexey Sintsov, que detallaba amablemente la falla de seguridad del Jetty Web Server.
¿La información publicada por Sintsov alcanza para realizar un ataque exitoso a una máquina que corra VMware? Y… con los conocimientos necesarios y un poco de lectura extra, sí.
¿Y quién es ese Sintsov? Adivinaste; es el hacker que notificó el problema a VMware.
Y acá sigue la cosa:
No, la falla no es “sólo” de VMware, está en Jetty. Aunque el hacker, que trabaja para una empresa británica aunque su apellido suene a ruso, únicamente menciona a VMware, el defecto de Jetty permite leer archivos ubicados dentro de las máquinas donde esté instalado. Como mínimo, fuga de información en puerta…
Espero que no se les haya atragantado el desayuno.