Η Broadcom προειδοποίησε σήμερα ότι οι εισβολείς εκμεταλλεύονται τώρα δύο ευπάθειες του VMware vCenter Server, ένα από τα οποία είναι ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα.
Οι ερευνητές ασφαλείας του TZL ανέφεραν την ευπάθεια RCE (CVE-2024-38812) κατά τη διάρκεια του διαγωνισμού χάκερ της Κίνας το 2024 Matrix Cup. Προκαλείται από αδυναμία υπερχείλισης σωρού στην υλοποίηση του πρωτοκόλλου DCE/RPC του vCenter και επηρεάζει προϊόντα που περιέχουν vCenter, συμπεριλαμβανομένων των VMware vSphere και VMware Cloud Foundation.
Το άλλο ελάττωμα του διακομιστή vCenter που χρησιμοποιείται τώρα στη φύση (αναφέρεται από τους ίδιους ερευνητές) είναι ένα ελάττωμα κλιμάκωσης προνομίων που παρακολουθείται ως CVE-2024-38813 που επιτρέπει στους εισβολείς να κλιμακώσουν τα δικαιώματα για root με ένα ειδικά κατασκευασμένο πακέτο δικτύου.
“Ενημερωμένη συμβουλή για να σημειωθεί ότι το VMware από την Broadcom επιβεβαίωσε ότι η εκμετάλλευση έλαβε χώρα στη φύση για CVE-2024-38812 και CVE-2024-38813,” Broadcom είπε τη Δευτέρα.
Η εταιρεία κυκλοφόρησε ενημερώσεις ασφαλείας τον Σεπτέμβριο για να διορθώσει και τα δύο τρωτά σημεία. Ωστόσο, περίπου ένα μήνα αργότερα, ενημέρωσε την προειδοποίηση συμβουλευτικής ασφάλειας ότι η αρχική ενημέρωση κώδικα CVE-2024-38812 δεν είχε αντιμετωπίσει πλήρως το ελάττωμα και «ενθάρρυνε έντονα» τους διαχειριστές να εφαρμόσουν τις νέες ενημερώσεις κώδικα.
Δεν υπάρχουν διαθέσιμες λύσεις για αυτά τα ελαττώματα ασφαλείας, επομένως συνιστάται στους πελάτες που επηρεάζονται να εφαρμόζουν αμέσως τις πιο πρόσφατες ενημερώσεις για να αποκλείσουν επιθέσεις που τις εκμεταλλεύονται ενεργά.
Η Broadcom κυκλοφόρησε επίσης ένα συμπληρωματική συμβουλευτική με πρόσθετες πληροφορίες σχετικά με την ανάπτυξη των ενημερώσεων ασφαλείας σε ευάλωτα συστήματα και γνωστά ζητήματα που θα μπορούσαν να επηρεάσουν όσους έχουν ήδη αναβαθμίσει.
Τον Ιούνιο, η εταιρεία διόρθωσε μια παρόμοια ευπάθεια vCenter Server RCE (CVE-2024-37079) την οποία οι εισβολείς μπορούν επίσης να εκμεταλλευτούν μέσω ειδικά δημιουργημένων πακέτων.
Οι φορείς απειλών, συμπεριλαμβανομένων των συμμοριών ransomware και των ομάδων hacking που χρηματοδοτούνται από το κράτος, στοχεύουν συχνά σε ευπάθειες στο VMware vCenter. Για παράδειγμα, τον Ιανουάριο, η Broadcom αποκάλυψε ότι κινεζικοί κρατικοί χάκερ εκμεταλλεύονταν μια κρίσιμη ευπάθεια διακομιστή vCenter (CVE-2023-34048) ως μηδενική ημέρα τουλάχιστον από τα τέλη του 2021.
Αυτή η ομάδα απειλών (που παρακολουθείται ως UNC3886 από την εταιρεία ασφαλείας Mandiant) έκανε κατάχρηση του ελαττώματος για την ανάπτυξη κερκόπορτων VirtualPita και VirtualPie σε κεντρικούς υπολογιστές ESXi μέσω κακόβουλα δημιουργημένων πακέτα εγκατάστασης vSphere (VIB).
VIA: bleepingcomputer.com
