Af Eskil Sørensen, 22/01/24
VMware advarer nu sine kunder om, at en kritisk vCenter Server-sårbarhed, der blev rettet i oktober 2023, bliver udnyttet i naturen.
Der er tale om en sårbarhed – en såkaldt out of bounds write relateret til implementeringen af DCERPC-protokollen – med id’et CVE-2023-34048 og en CVSS-score på 9,8. Den gør det muligt for en angriber, der har netværksadgang til vCenter Server, at eksternt udføre vilkårlig kode.
Security Week skriver, at sårbarheden ansås at være så kritisk, at VMware besluttede at frigive patches i oktober, selv for versioner af produktet, der har nået en end-of-life (EoL) status.
Nu har VMware i sidste uge opdateret sin advisory med information om, at der er bekræftet udnyttelse af CVE-2023-34048 in-the-wild. Hvem og hvordan fremgår ikke i øjeblikket, og en offentlig PoC-udnyttelse ser ikke ud til at være tilgængelig, hedder det. Da de tekniske detaljer har været tilgængelige siden begyndelsen af december, kan det pege på, at en udnyttelse pt. florerer i lukkede kredse. Som regel vil en PoC-udnyttelse være tilgængelig sandsynligvis blive solgt på Dark Web, når udviklerne af PoC-udnyttelsen ikke selv kan få mere ud af den.
Ifølge Security Week fremgår det af data fra Shadowserver Foundation, at der i øjeblikket er hundredvis af potentielt sårbare internet-eksponerede forekomster af VMware vCenter Server. Det vil sige, at der stadig er lidt at tage af – særligt når det ikke er ualmindeligt at VMware-produkter angribes af ondsindede aktører. Dette ses også i kataloget over kendte udnyttede sårbarheder, der pt. indeholder indeholder 21 VMware-produktfejl.
Links:
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
https://www.securityweek.com/vmware-vcenter-server-vulnerability-exploited-in-wild/