Boletines de seguridad

Microsoft actualizará los certificados de arranque seguro que se emitieron originalmente en 2011 para garantizar que los dispositivos Windows sigan verificando el software de arranque de confianza. Estos certificados más antiguos comenzarán a vencer en junio de 2026. Los dispositivos que no hayan recibido los certificados más recientes de 2023 seguirán iniciándose y funcionando con normalidad, y se seguirán instalando las actualizaciones estándar de Windows. Sin embargo, estos dispositivos ya no podrán recibir nuevas protecciones de seguridad para el proceso de inicio anticipado, incluidas las actualizaciones del Administrador de arranque de Windows, las bases de datos de arranque seguro, las listas de revocación o las mitigaciones para las vulnerabilidades a nivel del arranque descubiertas recientemente. Además, el vencimiento de los certificados de inicio seguro a partir de junio de 2026 afecta a los sistemas Linux que usan el inicio seguro.

¿Qué debo hacer?

Google recomienda que los clientes actualicen sus VMs de Windows tomando las medidas adecuadas según lo recomendado por Microsoft. Las distribuciones como Ubuntu, Red Hat y Fedora ya están trabajando para proporcionar paquetes actualizados firmados con la nueva clave de 2023. Consulta también la documentación de Broadcom para resolver errores y advertencias en las máquinas virtuales de VMware a medida que se acerca la fecha de vencimiento de los certificados de Inicio seguro. Después de junio de 2026, es posible que los sistemas que no tengan las actualizaciones de certificados de 2023 experimenten fallas durante las instalaciones de sistemas operativos nuevos o al actualizar el firmware del cargador de arranque existente.

CVE-2026-31431, también conocida como "Copy Fail", es una vulnerabilidad de elevación de privilegios local (LPE) de gravedad alta en el kernel de Linux que permite a un usuario sin privilegios obtener acceso de administrador. Se divulgó a fines de abril de 2026 y se debe a una falla lógica en el subsistema criptográfico del kernel (algif_aead) que se introdujo en 2017.

¿Qué debo hacer?

Google recomienda a los clientes que protejan sus VMs de Linux invitados actualizando el kernel en todas las VMs de Linux. Las principales distribuciones lanzaron o están lanzando correcciones.

Según el aviso de seguridad de VMware VMSA-2025-0015, se informaron de forma privada a Broadcom varias vulnerabilidades en VMware Aria Operations y VMware Tools. Hay parches disponibles para corregir estas vulnerabilidades en los productos afectados de Broadcom.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.5 y VMware Tools 13.0.5.

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Según el aviso VMSA-2025-0013, se informaron de forma privada a Broadcom varias vulnerabilidades en VMware ESXi.

Ya aplicamos parches a estas vulnerabilidades o estamos en proceso de aplicar los parches necesarios que proporciona Broadcom. No hay soluciones alternativas conocidas para estas vulnerabilidades informadas.

Una vez que se apliquen los parches, tus implementaciones de VMware Engine deberían ejecutar ESXi 7.0U3w o ESXi 8.0U3f, o una versión posterior.

¿Qué debo hacer?

Google recomienda a los clientes que supervisen sus cargas de trabajo en VMware Engine para detectar cualquier actividad inusual.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

Según el aviso de seguridad de VMware VMSA-2024-0017, se informó de forma privada a VMware sobre una vulnerabilidad de inyección SQL en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

Según el aviso de seguridad de VMware VMSA-2025-0006, se informó a VMware de forma responsable sobre una vulnerabilidad de elevación de privilegios local en VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

Según el aviso de seguridad de VMware VMSA-2025-0003, se informaron de forma privada a VMware varias vulnerabilidades en VMware Aria Operations for Logs y VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations for Logs 8.18.3 y VMware Aria Operations a 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

Según el aviso de seguridad de VMware VMSA-2025-0008, se informó de forma privada a VMware sobre una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en DOM en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.1, parche 2.

• VMSA-2025-0008
• CVE-2025-22249

VMware divulgó varias vulnerabilidades en VMSA-2025-0004 que afectan a los componentes de ESXi implementados en entornos de clientes.

El impacto de VMware Engine

Tus nubes privadas ya tienen el parche aplicado o están en proceso de actualización para abordar la vulnerabilidad de seguridad. Como parte del servicio VMware Engine, todos los clientes obtienen hosts de equipos físicos dedicados con discos locales conectados que están aislados de manera física de otro hardware. Esto significa que la vulnerabilidad se limita a las VMs invitadas dentro de tu nube privada específica.

Tus nubes privadas se actualizarán a la versión 7.0u3s, número de compilación 24534642. Esto equivale a 7.0U3s: número de compilación 24585291.

¿Qué debo hacer?

Sigue las instrucciones de Broadcom y tus proveedores de seguridad con respecto a esta vulnerabilidad.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

Según el aviso de seguridad de VMware VMSA-2025-0001, se informó a VMware de forma responsable sobre una vulnerabilidad de falsificación de solicitudes del servidor (SSRF) en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

Según el aviso de seguridad de VMware VMSA-2024-0022, se informaron de forma responsable a VMware varias vulnerabilidades en VMware Aria Operations. Hay actualizaciones disponibles para corregir estas vulnerabilidades en el producto afectado de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

Según el aviso de seguridad de VMware VMSA-2024-0020, se informaron de forma responsable a VMware varias vulnerabilidades en VMware NSX.

Las versiones de NSX-T que se ejecutan en tu entorno de VMware Engine no se ven afectadas por las CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Según el aviso de seguridad de VMware VMSA-2024-0021, se informó de forma privada a VMware sobre una vulnerabilidad de inyección de SQL autenticada en VMware HCX.

Aplicamos la mitigación aprobada por VMware para abordar esta vulnerabilidad. Esta corrección aborda una vulnerabilidad de seguridad que se describe en CVE-2024-38814. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los cambios aplicados. Se instalaron las mitigaciones adecuadas y tu entorno está protegido contra esta vulnerabilidad.

¿Qué debo hacer?

Te recomendamos que actualices a la versión 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware divulgó varias vulnerabilidades en VMSA-2024-0019 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

El impacto de VMware Engine

• Google ya inhabilitó cualquier posible explotación de esta vulnerabilidad. Por ejemplo, Google bloqueó los puertos a través de los cuales se podría aprovechar esta vulnerabilidad.
• Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

Por el momento, no se requiere ninguna acción de tu parte.

• CVE-2024-38812
• CVE-2024-38813

Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd). Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: una ejecución remota de código no autenticada como raíz, ya que afecta el código con privilegios de sshd, que no está en un espacio aislado y se ejecuta con privilegios completos.

En el momento de la publicación, se cree que la explotación podría ser difícil, ya que requiere ganar una condición de carrera, lo que es difícil de explotar con éxito y puede tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

1. Aplica actualizaciones de las distribuciones de Linux a tus cargas de trabajo a medida que estén disponibles. Consulta la orientación de las distribuciones de Linux.
2. Si no es posible actualizar, considera desactivar OpenSSH hasta que se pueda aplicar el parche.
3. Si OpenSSH debe permanecer activado, también puedes ejecutar una actualización de configuración que elimine la condición de carrera para el exploit. Esta es una mitigación del tiempo de ejecución. Para aplicar los cambios en la configuración de sshd, esta secuencia de comandos reiniciará el servicio de sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Por último, supervisa cualquier actividad de red inusual que involucre servidores SSH.

• CVE-2024-6387
• Respuesta de Broadcom sobre VMware Cloud Foundation

VMware divulgó varias vulnerabilidades en VMSA-2024-0012 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

El impacto de VMware Engine

• La vulnerabilidad se puede aprovechar accediendo a puertos específicos en vCenter Server. Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible aprovechamiento de esta vulnerabilidad.
• Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

Por el momento, no se requiere ninguna acción de tu parte.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan los componentes de ESXi implementados en los entornos de los clientes.

El impacto de VMware Engine

Tus nubes privadas se actualizaron para abordar la vulnerabilidad de seguridad.

¿Qué debo hacer?

No es necesaria ninguna acción de tu parte.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

El impacto de VMware Engine

• La vulnerabilidad se puede aprovechar si se accede a puertos específicos en vCenter Server. Estos puertos no están expuestos a Internet pública.
• Si los sistemas no confiables no pueden acceder a los puertos 2012/tcp, 2014/tcp y 2020/tcp de vCenter, no estás expuesto a esta vulnerabilidad.
• Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible aprovechamiento de esta vulnerabilidad.
• Además, Google garantizará que todas las implementaciones futuras del servidor vCenter no estén expuestas a esta vulnerabilidad.
• En el momento de la publicación del boletín, VMware no tiene conocimiento de ninguna explotación "en la naturaleza". Para obtener más detalles, consulta la documentación de VMware.

¿Qué debo hacer?

Por el momento, no se requiere ninguna acción de tu parte.

• CVE-2023-34048 y CVE-2023-34056

Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

El impacto de VMware Engine

VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation).

¿Qué debo hacer?

Los clientes no se ven afectados y no es necesario que realicen ninguna acción.

• CVE-2023-20893

Recientemente, Intel anunció el Aviso de seguridad de Intel INTEL-SA-00828 que afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes tus riesgos en función de la asesoría.

El impacto de VMware Engine

Nuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un solo cliente. Por lo tanto, nuestro modelo de implementación no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad.

Trabajamos con nuestros socios para obtener los parches necesarios y los implementaremos de forma prioritaria en toda la flota con el proceso de actualización estándar en las próximas semanas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Estamos trabajando para actualizar todos los sistemas afectados.

• CVE-2022-40982

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches proporcionados por VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Ten la certeza de que se instalaron los parches adecuados y tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Te recomendamos que actualices a la versión más reciente de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974