VMware bekræfter udnyttelse

Kritisk RCE-sårbarhed i VMware vCenter Server udnyttes aktivt

VMWware (Broadcom) bekræfter nu, at en udnyttelse har fundet sted "in the wild" for to sårbarheder, som blev annonceret identificeret i september. 

Der er tale om sårbarhederne CVE-2024-38812 og CVE-2024-38813, der har fået CVSS-scores på hhv. 9,8 og 7,5.

VMware vCenter Server:

  • Versioner fra 7,0 men før 7,0 U3s
  • Versioner fra 8.0 men før 8.0 U3b

Der er allerede indrapporteret aktiv udnyttelse. Udnyttelsesmuligheden blev påvist på en kinesisk hackerkonference i juni i år.

Sårbarhederne er følgende:

  • CVE-2024-38812 er en "heap-overflow"-sårbarhed i implementeringen af DCERPC-protokollen i vCenter-serveren. En ondsindet aktør, der har netværksadgang til vCenter Server, kan udløse sårbarheden ved at sende specielt udformede netværkspakker, som potentielt kan føre til "remote code execution." 
  • CVE-2024-38813 er en "privilege escalation"-sårbarhed, som en ondsindet aktør med netværksadgang til vCenter Server kan udnytte ved sammensætning af en specielt udformet pakke. Den kan bruges til eskalering af rettigheder til root.

Det anbefales at opdatere sårbare systemer snarest og følge anvisningerne fra producenten.

Links:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

https://cert.dk/da/news/2024-09-18/Kritisk-saarbarhed-i-VMware-vCenter

Keywords: