Broadcom a averti aujourd’hui que les attaquants exploitaient désormais deux vulnérabilités VMware vCenter Server, dont l’une est une faille critique d’exécution de code à distance.
Les chercheurs en sécurité de TZL ont signalé la vulnérabilité RCE (CVE-2024-38812) lors du concours de piratage de la Matrix Cup 2024 en Chine. Elle est causée par une faiblesse de débordement de tas dans l’implémentation du protocole DCE / RPC de vCenter et affecte les produits contenant vCenter, y compris VMware vSphere et VMware Cloud Foundation.
L’autre faille de vCenter Server maintenant exploitée à l’état sauvage (signalée par les mêmes chercheurs) est une faille d’escalade de privilèges répertoriée sous le nom de CVE-2024-38813 qui permet aux attaquants d’augmenter les privilèges de root avec un paquet réseau spécialement conçu.
« Avis mis à jour pour noter que VMware par Broadcom a confirmé qu’une exploitation s’est produite dans la nature pour CVE-2024-38812 et CVE-2024-38813 », a déclaré Broadcom lundi.
La société a publié des mises à jour de sécurité en septembre pour corriger les deux vulnérabilités. Pourtant, environ un mois plus tard, il a mis à jour l’avertissement de sécurité indiquant que le correctif CVE-2024-38812 d’origine n’avait pas entièrement corrigé la faille et a « fortement » encouragé les administrateurs à appliquer les nouveaux correctifs.
Aucune solution de contournement n’est disponible pour ces failles de sécurité, il est donc conseillé aux clients concernés d’appliquer immédiatement les dernières mises à jour pour bloquer les attaques qui les exploitent activement.
Broadcom a également publié un avis supplémentaire contenant des informations supplémentaires sur le déploiement des mises à jour de sécurité sur les systèmes vulnérables et les problèmes connus qui pourraient avoir un impact sur ceux qui ont déjà effectué une mise à niveau.
En juin, la société a corrigé une vulnérabilité similaire de vCenter Server RCE (CVE-2024-37079) que les attaquants peuvent également exploiter via des paquets spécialement conçus.
Les acteurs de la menace, y compris les gangs de ransomwares et les groupes de piratage parrainés par l’État, ciblent fréquemment les vulnérabilités de VMware vCenter. Par exemple, en janvier, Broadcom a révélé que des pirates informatiques de l’État chinois exploitaient une vulnérabilité critique de vCenter Server (CVE-2023-34048) en tant que jour zéro depuis au moins la fin de 2021.
Ce groupe de menaces (identifié comme UNC3886 par la société de sécurité Mandiant) a abusé de la faille pour déployer des portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi via des ensembles d’installation vSphere (VIB) conçus de manière malveillante.