Broadcom a corrigé une vulnérabilité critique de VMware vCenter Server que les attaquants peuvent exploiter pour obtenir l’exécution de code à distance sur des serveurs non corrigés via un paquet réseau.
vCenter Server est le hub de gestion central de la suite vSphere de VMware, aidant les administrateurs à gérer et surveiller l’infrastructure virtualisée.
La vulnérabilité (CVE-2024-38812), signalée par les chercheurs en sécurité de TZL lors du concours de piratage de la Matrix Cup 2024 en Chine, est causée par une faiblesse de débordement de tas dans la mise en œuvre du protocole DCE/RPC de vCenter. Elle affecte également les produits contenant vCenter, notamment VMware vSphere et VMware Cloud Foundation.
Les attaquants non authentifiés peuvent l’exploiter à distance dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur « en envoyant un paquet réseau spécialement conçu pouvant potentiellement conduire à l’exécution de code à distance. »
Les correctifs de sécurité corrigeant cette vulnérabilité sont désormais accessibles via les mécanismes de mise à jour standard de vCenter Server.
« Pour assurer une protection complète pour vous et votre organisation, installez l’une des versions de mise à jour répertoriées dans l’avis de sécurité VMware », a déclaré la société.
« Bien que d’autres mesures d’atténuation puissent être disponibles en fonction de la posture de sécurité de votre organisation, des stratégies de défense en profondeur et des configurations de pare-feu, chaque organisation doit évaluer l’adéquation de ces protections de manière indépendante. »
Non exploité dans les attaques
Broadcom dit qu’il n’a trouvé aucune preuve que le bogue CVE-2023-34048 RCE est actuellement exploité dans des attaques.
Les administrateurs qui ne sont pas en mesure d’appliquer immédiatement les mises à jour de sécurité d’aujourd’hui doivent contrôler strictement l’accès au périmètre du réseau aux composants et interfaces de gestion vSphere, y compris les composants de stockage et de réseau, car une solution de contournement officielle pour cette vulnérabilité n’est pas disponible.
Aujourd’hui, l’entreprise a également corrigé une vulnérabilité d’escalade de privilèges de gravité élevée (CVE-2024-38813) que les auteurs de menaces peuvent exploiter pour obtenir des privilèges root sur des serveurs vulnérables via un paquet réseau spécialement conçu.
En juin, il a corrigé une vulnérabilité similaire d’exécution de code à distance vCenter Server (CVE-2024-37079) qui peut être exploitée via des paquets spécialement conçus.
En janvier, Broadcom a révélé qu’un groupe de piratage chinois exploitait une vulnérabilité critique de vCenter Server (CVE-2023-34048) en tant que jour zéro depuis au moins la fin de 2021.
Le groupe de menaces (identifié comme UNC3886 par la société de sécurité Mandiant) l’a utilisé pour violer les serveurs vCenter vulnérables afin de déployer des portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi via des ensembles d’installation vSphere (VIB) conçus de manière malveillante.