Datum der Offenlegung: September 17, 2024
Datum, an dem es als aktiv genutzt gemeldet wurde (Quelle): November 18, 2024
CVE-2024-38812 ist eine Heap-Überlauf-Schwachstelle in der Implementierung des DCERPC-Protokolls von vCenter Server, und CVE-2024-38813 ist eine Schwachstelle, die eine Ausweitung der Berechtigungen ermöglicht. Beide Sicherheitslücken wurden im September auf NVD veröffentlicht, aber am 18. November 2024 wurde bestätigt, dass sie aktiv ausgenutzt werden. Es wird daher empfohlen, dass die Benutzer die Patches anwenden, die in diesem Hinweis sofort anzuwenden.
VMware vCenter-Server sind normalerweise über das Netzwerk zugänglich, um virtuelle Umgebungen zu verwalten. Wenn sie aufgrund von falsch konfigurierten Firewalls oder uneingeschränktem Netzwerkzugriff nicht ordnungsgemäß gesichert sind, können unbefugte Anwender diese Schwachstellen ausnutzen.
Die exponierten Instanzen in der Censys Perspektive dieses Hinweises scheinen auf VMware vSphere Web Client-Geräte hinzuweisen, aber es ist wichtig zu erkennen, dass diese Geräte wahrscheinlich auch vCenter-Komponenten enthalten. Diese Unterscheidung ist wichtig, da vSphere die gesamte Virtualisierungssuite darstellt, während vCenter sich speziell auf das zentrale Managementsystem bezieht, das virtuelle Umgebungen steuert.
For example, assets accessible at https://<server-ip>/ui are tied to the vSphere Web Client, the primary interface for managing virtual machines, clusters, and resources. Meanwhile, assets accessible at https://<server-ip>:5480 pertain to the vCenter Server Appliance Management Interface (VAMI), which focuses on appliance configuration, updates, and health monitoring.
Die Identifizierung dieser Endpunkte in den Inventaren der gefährdeten Anlagen trägt zu einer angemessenen Risikobewertung und -minderung bei, da Schwachstellen, die auf vCenter abzielen (z. B. CVE-2024-38812 und CVE-2024-38813), eine erhebliche Bedrohung für die virtuelle Infrastruktur darstellen können, wenn sie nicht gepatcht oder unzureichend gesichert werden.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-38812 - CVSS 9.8 (kritisch) - zugewiesen von VMware |
CVE-2024-38813: CVSS 9.8 (kritisch) - zugewiesen von NVD und 7.5 (hoch) - zugewiesen von VMware |
| Schwachstelle Beschreibung |
Der vCenter Server enthält eine Heap-Überlauf-Schwachstelle in der Implementierung des DCERPC-Protokolls. Ein böswilliger Akteur mit Netzwerkzugriff auf vCenter Server kann diese Sicherheitsanfälligkeit auslösen, indem er ein speziell gestaltetes Netzwerkpaket sendet, das möglicherweise zur Remotecodeausführung führt. |
Der vCenter Server enthält eine Schwachstelle für die Ausweitung von Berechtigungen. Ein böswilliger Akteur mit Netzwerkzugriff auf vCenter Server kann diese Schwachstelle ausnutzen, um durch das Senden eines speziell gestalteten Netzwerkpakets die Berechtigungen auf Root zu erweitern. |
| Datum der Offenlegung |
17. September 2024 |
| Betroffene Vermögenswerte |
VMware vCenter und VMware Cloud Foundation |
| Anfällige Software-Versionen |
VMware vCenter:
- 7.0 ( vor Update 3t )
- 8.0 ( vor Update 3d )
VMware Cloud Foundation:
- 5.x ( vor 8.0 Update 3d )
- 5.1.x ( vor 8.0 Update 2e )
- 4.x ( vor 7.0 Update 3t )
|
| PoC verfügbar? |
Ein GitHub-Benutzer behauptet, im Besitz eines PoCs zu sein, der jedoch noch nicht veröffentlicht wurde und noch nicht bewiesen hat, dass er eine der beiden Sicherheitslücken ausnutzt. |
| Verwertungsstatus |
VMware by Broadcom hat bestätigt, dass CVE-2024-38812 und CVE-2024-38813 in freier Wildbahn ausgenutzt wurden. |
| Patch-Status |
VMware by Broadcom hat korrigierte Versionen für alle betroffenen Produkte veröffentlicht. Weitere Einzelheiten finden Sie in der Antwortmatrix in diesem Sicherheitshinweis. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 4,420 exponierte VMware vCenter Server online. Ein großer Teil davon (21%) befinden sich in den Vereinigten Staaten. Censys beobachtete etwa 6% der exponierten Instanzen mit OVHcloud (ASN 16276) in Verbindung gebracht, einem Cloud-Anbieter, der gehostete Private Cloud-, Public Cloud- und dedizierte Server-Lösungen anbietet. Beachten Sie, dass nicht alle dieser Instanzen verwundbar sind, da keine spezifischen Versionen verfügbar sind.
Diese Nuklei-Vorlage kann verwendet werden, um bekannte VMware vCenter Server daraufhin zu testen, ob sie für CVE-2024-38812 anfällig sind oder nicht. Nuclei ist ein Open-Source-Tool zum Scannen von Schwachstellen, das von ProjectDiscovery entwickelt wurde.
Karte der exponierten VMware vCenter Server:
Censys Search Abfrage:
services.software: (vendor="VMware" and product="vCenter")
Censys ASM-Abfrage:
host.services.software.vendor="VMware" and host.services.software.product="vCenter"
Referenzen
