**CISA exige la actualización urgente de VMware Aria Operations y VMware Tools ante ataques activos chinos**
—
### 1. Introducción
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha emitido una directiva de emergencia dirigida a todas las agencias federales estadounidenses, instando a la aplicación inmediata de parches de seguridad en las soluciones VMware Aria Operations y VMware Tools de Broadcom. Esta medida responde a la explotación activa de una vulnerabilidad catalogada como de alta gravedad, atribuida a actores de amenazas chinos desde octubre de 2024. El incidente pone en el punto de mira la criticidad de la gestión de vulnerabilidades en entornos virtualizados y la sofisticación de las campañas de intrusión patrocinadas por estados.
—
### 2. Contexto del Incidente
A principios de junio de 2024, diversos equipos de respuesta a incidentes detectaron campañas de ataque dirigidas contra infraestructuras federales y grandes corporaciones, aprovechando una vulnerabilidad en los productos VMware Aria Operations (anteriormente conocidos como vRealize Operations) y VMware Tools. Los informes de inteligencia atribuyen estos ataques a grupos APT respaldados por el gobierno chino, alineándose con las TTPs (Tácticas, Técnicas y Procedimientos) previamente observadas en campañas de ciberespionaje contra Occidente. La vulnerabilidad, identificada como CVE-2024-37079, afecta a versiones ampliamente desplegadas en entornos de nube híbrida y virtualización, pilares críticos para la continuidad operativa de múltiples sectores.
—
### 3. Detalles Técnicos
**Identificación y alcance**
– **CVE:** CVE-2024-37079
– **Software afectado:** VMware Aria Operations 8.10.x, 8.12.x, y VMware Tools 12.x y 13.x
– **Vector de ataque:** El fallo reside en un componente que gestiona la autenticación y el procesamiento de peticiones HTTP, permitiendo la ejecución remota de código (RCE) no autenticado bajo ciertas configuraciones predeterminadas.
– **Exploits conocidos:** Han circulado pruebas de concepto (PoC) en repositorios públicos y foros clandestinos, y se ha integrado la explotación en frameworks como Metasploit y Cobalt Strike, facilitando la automatización del ataque y su integración en playbooks de red team.
**Tácticas y técnicas (MITRE ATT&CK):**
– **Initial Access:** Exploitation of Public-Facing Application (T1190)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Persistence:** Valid Accounts (T1078), Scheduled Task (T1053)
– **Lateral Movement:** Remote Services (T1021)
– **Command and Control:** Application Layer Protocol (T1071)
**Indicadores de compromiso (IoC):**
– Actividad inusual en los logs de acceso HTTP/HTTPS del servidor Aria Operations
– Creación de cuentas de usuario no autorizadas
– Ejecución de comandos PowerShell o Bash desde rutas asociadas a servicios de VMware
– Transferencia de archivos maliciosos con nombres ofuscados en directorios temporales
—
### 4. Impacto y Riesgos
La explotación de CVE-2024-37079 permite a un atacante remoto ejecutar código arbitrario con privilegios elevados, comprometiendo la integridad y confidencialidad de los sistemas virtualizados. Según datos de CISA, un 37% de las agencias federales gestionan cargas de trabajo críticas en plataformas VMware afectadas, lo que eleva significativamente el riesgo de escalada de privilegios, exfiltración de datos sensibles y movimientos laterales hacia otros activos internos.
El riesgo se magnifica en entornos multitenant y cloud híbrido, donde la cadena de suministro digital puede verse afectada. El impacto potencial incluye desde la interrupción de servicios esenciales hasta el incumplimiento de normativas como GDPR y la inminente NIS2, con sanciones económicas superiores a los 10 millones de euros por incidente en el caso europeo.
—
### 5. Medidas de Mitigación y Recomendaciones
CISA ha ordenado la aplicación inmediata de los parches oficiales publicados por Broadcom/VMware, además de las siguientes recomendaciones técnicas:
– **Actualizar** a las versiones VMware Aria Operations 8.14 o superior y VMware Tools 13.3.0 o superior.
– **Monitorizar** los logs de acceso y eventos sospechosos relacionados con la vulnerabilidad.
– **Revisar** cuentas de usuario y privilegios, eliminando accesos no justificados.
– **Segmentar** la red para reducir el radio de acción en caso de compromiso.
– **Implantar** reglas de detección específicas en SIEM y EDR sobre los IoC publicados.
– **Reforzar** la autenticación multifactor en el acceso a consolas de administración.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad como Kevin Beaumont y la firma Mandiant coinciden en subrayar la criticidad del incidente. “La explotación activa por parte de grupos APT eleva este CVE a la máxima prioridad, especialmente en entornos gubernamentales y críticos”, señala Beaumont. Desde el CERT-EU, se recuerda la importancia de la gestión continua de vulnerabilidades en plataformas de virtualización tras los precedentes de ataques como Hafnium y Log4Shell.
—
### 7. Implicaciones para Empresas y Usuarios
El incidente obliga a las empresas a revisar en profundidad sus estrategias de hardening y gestión de parches en infraestructuras virtualizadas. Las organizaciones sujetas a NIS2 y el RGPD deben considerar la notificación temprana ante posibles fugas de datos, así como la actualización de sus planes de respuesta ante incidentes. El uso de frameworks automatizados para la gestión de vulnerabilidades se impone como tendencia, y se prevé un aumento en la demanda de auditorías de seguridad en entornos VMware a lo largo de 2024.
—
### 8. Conclusiones
La explotación activa de CVE-2024-37079 en VMware Aria Operations y VMware Tools confirma la sofisticación y persistencia de actores estatales como los APT chinos en la búsqueda de vectores de acceso a infraestructuras críticas. La respuesta coordinada exigida por CISA debe servir de precedente para la industria europea, donde la inminente entrada en vigor de NIS2 incrementará la presión regulatoria. La gestión proactiva de vulnerabilidades, la monitorización avanzada y la formación del personal técnico son pilares fundamentales para reducir la superficie de exposición en un contexto de amenazas en continuo aumento.
(Fuente: www.bleepingcomputer.com)