Date de divulgation : 17 septembre 2024
Date de déclaration d'exploitation active (source) : 18 novembre 2024
CVE-2024-38812 est une vulnérabilité de type débordement de tas dans l'implémentation du protocole DCERPC par vCenter Server, et CVE-2024-38813 est une vulnérabilité d'escalade des privilèges. Ces deux exploits ont été publiés dans le NVD en septembre, mais il a été confirmé qu'ils étaient activement exploités dans la nature le 18 novembre 2024. Il est donc recommandé aux utilisateurs d'appliquer les correctifs disponibles dans cet avis immédiatement.
Les serveurs VMware vCenter sont généralement accessibles via le réseau pour gérer les environnements virtuels. S'ils ne sont pas correctement sécurisés en raison d'une mauvaise configuration des pare-feu ou d'un accès illimité au réseau, des utilisateurs non autorisés peuvent être en mesure d'exploiter ces vulnérabilités.
Les instances exposées dans la perspective Censys de cet avis peuvent sembler indiquer des dispositifs VMware vSphere Web Client, mais il est important de reconnaître que ces dispositifs incluent probablement aussi des composants vCenter. Cette distinction est importante car vSphere représente la suite de virtualisation globale, tandis que vCenter fait spécifiquement référence au système de gestion centralisé qui contrôle les environnements virtuels.
For example, assets accessible at https://<server-ip>/ui are tied to the vSphere Web Client, the primary interface for managing virtual machines, clusters, and resources. Meanwhile, assets accessible at https://<server-ip>:5480 pertain to the vCenter Server Appliance Management Interface (VAMI), which focuses on appliance configuration, updates, and health monitoring.
L'identification de ces points d'extrémité dans les inventaires de biens exposés permet de garantir une évaluation et une atténuation appropriées des risques, car les vulnérabilités ciblant vCenter (par exemple, CVE-2024-38812 et CVE-2024-38813) peuvent constituer des menaces importantes pour l'infrastructure virtuelle lorsqu'elles ne sont pas corrigées ou qu'elles ne sont pas correctement sécurisées.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-38812 - CVSS 9.8 (critique) - attribué par VMware |
CVE-2024-38813: CVSS 9.8 (critique) - attribué par NVD et 7.5 (élevé) - attribué par VMware |
| Description de la vulnérabilité |
Le serveur vCenter contient une vulnérabilité de type débordement de tas dans l'implémentation du protocole DCERPC. Un acteur malveillant disposant d'un accès réseau à vCenter Server peut déclencher cette vulnérabilité en envoyant un paquet réseau spécialement conçu, ce qui pourrait entraîner l'exécution de code à distance. |
Le serveur vCenter contient une vulnérabilité d'élévation de privilèges. Un acteur malveillant disposant d'un accès réseau à vCenter Server peut déclencher cette vulnérabilité afin d'élever ses privilèges au niveau de root en envoyant un paquet réseau spécialement conçu. |
| Date de la divulgation |
17 septembre 2024 |
| Actifs touchés |
VMware vCenter et VMware Cloud Foundation |
| Versions de logiciels vulnérables |
VMware vCenter :
- 7.0 ( avant la mise à jour 3t )
- 8.0 ( avant la mise à jour 3d )
VMware Cloud Foundation :
- 5.x ( avant 8.0 Update 3d )
- 5.1.x ( avant 8.0 Update 2e )
- 4.x ( avant 7.0 Update 3t )
|
| PoC disponible ? |
Un utilisateur de GitHub affirme être en possession d'un PoC, mais il n'a pas encore été rendu public ni prouvé qu'il exploite l'une ou l'autre des vulnérabilités. |
| Statut d'exploitation |
VMware by Broadcom a confirmé qu'une exploitation a eu lieu dans la nature pour CVE-2024-38812 et CVE-2024-38813. |
| Statut du patch |
VMware by Broadcom a publié des versions corrigées pour tous les produits concernés. Plus de détails sont disponibles dans la matrice de réponse de cet avis de sécurité. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 4,420 serveurs VMware vCenter exposés en ligne. Une grande partie d'entre eux (21%) sont géolocalisés aux États-Unis. Censys a observé environ 6% des instances exposées étaient associées à OVHcloud (ASN 16276), un fournisseur de cloud qui propose des solutions de cloud privé hébergé, de cloud public et de serveur dédié. Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques ne sont pas disponibles.
Ce modèle modèle Nuclei peut potentiellement être utilisé pour tester des serveurs VMware vCenter connus afin de confirmer s'ils sont ou non vulnérables à CVE-2024-38812. Nuclei est un outil d'analyse de vulnérabilité open-source développé par ProjectDiscovery.
Carte des serveurs VMware vCenter exposés :
Censys Requête de recherche :
services.software: (vendor="VMware" and product="vCenter")
Censys Requête ASM :
host.services.software.vendor="VMware" and host.services.software.product="vCenter"
Références
