Especialistas en ciberseguridad reportan el hallazgo de al menos 20 fallas críticas en VM VirtualBox, un popular software de virtualización para arquitecturas x86/amd64 desarrollado por la compañía tecnológica Oracle. Acorde al reporte, la explotación exitosa de las fallas reportadas permitiría el despliegue de ataques de denegación de servicio (DoS) y el acceso a información confidencial, entre otros escenarios de riesgo.
A continuación se muestran los detalles de algunas fallas, incluyendo claves de identificación CVE y puntajes acorde al Common Vulnerability Scoring System (CVSS).
CVE-2021-2312: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los usuarios locales explotar esta falla para realizar un ataque DoS.
La vulnerabilidad recibió un puntaje CVSS de 3.9/10
CVE-2021-2291: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los usuarios autenticados locales explotar esta vulnerabilidad para obtener acceso a información confidencial.
La falla recibió un puntaje de 4.2/10.
CVE-2021-2297: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitirían a los usuarios privilegiados locales explotar esta vulnerabilidad para obtener acceso a información confidencial.
La vulnerabilidad recibió un puntaje CVSS de 4.6/10.
CVE-2021-2296: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los usuarios privilegiados explotar el error para obtener acceso a información confidencial.
Esta vulnerabilidad recibió un puntaje de 4.6/10.
CVE-2021-2266: La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox. Un usuario privilegiado local puede aprovechar esta vulnerabilidad para obtener acceso a información confidencial.
Esta falla recibió un puntaje CVSS de 5.2/10.
CVE-2021-2266: La validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los usuarios privilegiados locales acceder a información confidencial.
La vulnerabilidad recibió un puntaje de 5.2/10.
CVE-2021-2287: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los actores de amenazas locales no autenticados acceder a información confidencial.
Esta vulnerabilidad recibió un puntaje de 6.2/10.
CVE-2021-2286: La validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permite a los usuarios locales no autenticados leer y manipular datos confidenciales.
La vulnerabilidad recibió un puntaje de 6.2/10 en la escala CVSS.
CVE-2021-2285: Una validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los actores de amenazas locales no autenticados explotar la falla para acceder a información confidencial.
Esta falla recibió un puntaje CVSS de 6.2/10.
CVE-2021-2284: La validación de entrada incorrecta dentro del componente Core en Oracle VM VirtualBox permitiría a los actores de amenazas locales no autenticados acceder y manipular la información confidencial en el sistema objetivo.
La vulnerabilidad recibió un puntaje CVSS de 6.2/10.
Muchas de las fallas requieren acceso remoto para su explotación exitosa, lo que reduce el riesgo de ataque. Además, los expertos en ciberseguridad afirman que hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque.
Los parches de seguridad para estas fallas ya están disponibles, por lo que Oracle recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad. La lista completa de las fallas reportadas está disponible en las plataformas oficiales de la compañía. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).