Fecha de divulgación: 17 de septiembre de 2024
Fecha en la que se comunicó la explotación activa (fuente): 18 de noviembre de 2024
CVE-2024-38812 es una vulnerabilidad de desbordamiento de heap en la implementación de vCenter Server del protocolo DCERPC, y CVE-2024-38813 es una vulnerabilidad de escalada de privilegios. Ambos exploits se publicaron en NVD en septiembre, pero se confirmó su explotación activa in the wild el 18 de noviembre de 2024. Por lo tanto, se recomienda que los usuarios apliquen los parches disponibles en este aviso inmediatamente.
Los servidores VMware vCenter suelen ser accesibles a través de la red para gestionar entornos virtuales. Si no están debidamente protegidos debido a cortafuegos mal configurados o a un acceso a la red sin restricciones, usuarios no autorizados pueden ser capaces de explotar estas vulnerabilidades.
Las instancias expuestas en la Perspectiva Censys de este aviso pueden parecer indicar dispositivos VMware vSphere Web Client, pero es importante reconocer que estos dispositivos probablemente incluyen también componentes vCenter. Esta distinción es importante porque vSphere representa el conjunto general de virtualización, mientras que vCenter se refiere específicamente al sistema de gestión centralizado que controla los entornos virtuales.
For example, assets accessible at https://<server-ip>/ui are tied to the vSphere Web Client, the primary interface for managing virtual machines, clusters, and resources. Meanwhile, assets accessible at https://<server-ip>:5480 pertain to the vCenter Server Appliance Management Interface (VAMI), which focuses on appliance configuration, updates, and health monitoring.
La identificación de estos endpoints en los inventarios de activos expuestos ayuda a garantizar una evaluación y mitigación de riesgos adecuadas, ya que las vulnerabilidades dirigidas a vCenter (por ejemplo, CVE-2024-38812 y CVE-2024-38813) pueden suponer amenazas significativas para la infraestructura virtual si no se aplican los parches o se protegen de forma inadecuada.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-38812 - CVSS 9.8 (crítico) - asignado por VMware |
CVE-2024-38813: CVSS 9.8 (crítico) - asignado por NVD y 7.5 (alto) - asignado por VMware. |
| Descripción de la vulnerabilidad |
El vCenter Server contiene una vulnerabilidad de desbordamiento de heap en la implementación del protocolo DCERPC. Un actor malicioso con acceso de red a vCenter Server puede activar esta vulnerabilidad mediante el envío de un paquete de red especialmente diseñado que puede conducir a la ejecución remota de código. |
El vCenter Server contiene una vulnerabilidad de escalada de privilegios. Un actor malicioso con acceso de red a vCenter Server puede activar esta vulnerabilidad para escalar privilegios a root mediante el envío de un paquete de red especialmente diseñado. |
| Fecha de divulgación |
17 de septiembre de 2024 |
| Activos afectados |
VMware vCenter y VMware Cloud Foundation |
| Versiones de software vulnerables |
VMware vCenter:
- 7.0 ( antes de la actualización 3t )
- 8.0 ( antes de la actualización 3d )
VMware Cloud Foundation:
- 5.x ( antes de 8.0 Actualización 3d )
- 5.1.x ( antes de 8.0 Actualización 2e )
- 4.x ( antes de la actualización 7.0 3t )
|
| ¿PoC disponible? |
Un usuario de GitHub afirma estar en posesión de una PoC, pero aún no se ha hecho pública ni se ha demostrado que explote ninguna de las dos vulnerabilidades. |
| Estado de explotación |
VMware by Broadcom confirmó que se ha producido explotación in the wild para CVE-2024-38812 y CVE-2024-38813. |
| Estado del parche |
VMware by Broadcom ha publicado versiones corregidas para todos los productos afectados. Encontrará más detalles en la matriz de respuestas de este aviso de seguridad. |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 4,420 servidores VMware vCenter expuestos en línea. Una gran proporción de ellos (21%) están geolocalizados en Estados Unidos. Censys observó alrededor del 6% de las instancias expuestas estaban asociadas con OVHcloud (ASN 16276), un proveedor de nube que ofrece soluciones de nube privada alojada, nube pública y servidor dedicado. Nótese que no todas ellas son necesariamente vulnerables, ya que no se dispone de versiones específicas.
Este plantilla Nuclei puede utilizarse potencialmente para probar servidores VMware vCenter conocidos y confirmar si son o no vulnerables a CVE-2024-38812. Nuclei es una herramienta de escaneo de vulnerabilidades de código abierto desarrollada por ProjectDiscovery.
Mapa de servidores VMware vCenter expuestos:
Censys Consulta de búsqueda:
services.software: (vendor="VMware" and product="vCenter")
Censys Consulta ASM:
host.services.software.vendor="VMware" and host.services.software.product="vCenter"
Referencias
