Broadcom, het bedrijf dat eigenaar is van VMware, heeft patches uitgebracht om twee kritieke kwetsbaarheden op te lossen die VMware vCenter Server aantasten. Deze beveiligingslekken kunnen worden misbruikt door het versturen van speciaal ontworpen netwerkpakketten, wat kan resulteren in de uitvoering van externe code (CVE-2024-38812) of in een escalatie van privileges (CVE-2024-38813).
Details van de kwetsbaarheden
De kwetsbaarheid CVE-2024-38812 wordt omschreven als een niet-geauthenticeerde heap overflow in de implementatie van het DCE/RPC protocol, wat potentieel kan leiden tot het uitvoeren van externe code. Aan de andere kant, hoewel de specifieke details van de CVE-2024-38813 kwetsbaarheid niet zijn onthuld, is bekend dat deze door geauthenticeerde aanvallers kan worden gebruikt om privileges te escaleren op rootniveau.
Deze kwetsbaarheden zijn van invloed op versies 8.0 en 7.0 van vCenter Server, evenals op versies 5.x en 4.x van VMware Cloud Foundation, aangezien dit laatste product vCenter bevat.
Ontdekking en melding
Beide kwetsbaarheden werden gemeld door onderzoekers die deelnamen aan de Matrix Cup 2024, een hacking competitie die plaatsvond in Qingdao, China, in juni van dit jaar. Dit feit benadrukt het belang van beveiligingswedstrijden bij het identificeren van kritieke kwetsbaarheden.
Veiligheidsaanbevelingen
Broadcom heeft aangegeven dat het tot nu toe geen weet heeft van het “in de echte wereld” uitbuiten van deze kwetsbaarheden. Echter, het bedrijf benadrukt het belang voor organisaties om snel te handelen en een van de bijgewerkte versies te installeren.
“Hoewel er afhankelijk van de beveiligingshouding van uw organisatie andere mitigerende maatregelen beschikbaar kunnen zijn, zoals verdedigingsstrategieën in de diepte en firewallconfiguraties, moet elke organisatie onafhankelijk evalueren hoe toereikend deze beschermingen zijn”, verklaart Broadcom. “De meest betrouwbare methode om deze kwetsbaarheden aan te pakken, is het toepassen van de aanbevolen patches.”
Impact op de operaties
Het bedrijf heeft ook verzekerd dat de vCenter update geen invloed zal hebben op de lopende werklasten. “vCenter is de beheerinterface van een vSphere-cluster. Het gebruik van de vSphere-client gaat kort verloren tijdens de update, en andere beheermethoden worden soortgelijk beïnvloed, maar de werklasten van virtuele machines en containers worden niet aangetast”, legt Broadcom uit.
Achtergrond van vergelijkbare kwetsbaarheden
Het is belangrijk te benadrukken dat dit niet de eerste keer is dat kritieke kwetsbaarheden in vCenter Server zijn ontdekt. In oktober 2023 heeft VMware een even kritieke externe code uitvoeringsfout (CVE-2023-34048) gepatcht. Maanden later onthulde Mandiant dat deze kwetsbaarheid al jaren was uitgebuit door een zeer geavanceerde spionagegroep gesteund door China.
Samengevat, de snelle actie van Broadcom bij het corrigeren van deze kritieke kwetsbaarheden benadrukt het belang van het up-to-date houden van virtuele infrastructuurbeheersystemen. Systeembeheerders worden aangespoord om de patches zo snel mogelijk toe te passen om hun omgevingen tegen mogelijke aanvallen te beschermen.
Meer informatie op Vmware