博通(Broadcom)修复了一个严重的 VMware vCenter Server 漏洞,攻击者可以利用该漏洞通过网络数据包在未修补的服务器上执行远程代码。
vCenter Server 是 VMware vSphere 套件的中央管理中心,可帮助管理员管理和监控虚拟化基础架构。
该漏洞 ( CVE-2024-38812 ) 由 TZL 安全研究人员在中国 2024 年 Matrix Cup 黑客大赛期间报告,是由 vCenter 的 DCE/RPC 协议实现中的堆溢出缺陷引起的。
它还影响包含 vCenter 的产品,包括 VMware vSphere 和 VMware Cloud Foundation。
未经身份验证的攻击者可以在不需要用户交互的低复杂度攻击中远程利用它“通过发送可能导致远程代码执行的特制网络数据包”。
现在可以通过标准 vCenter Server 更新机制获取解决此漏洞的安全补丁。
该公司表示:
“为了确保您和您的组织得到全面保护,请安装 VMware 安全公告中列出的更新版本之一 。 ”
“虽然根据组织的安全态势、纵深防御策略和防火墙配置可能会采取其他缓解措施,但每个组织都必须独立评估这些保护措施是否充分。”
未被攻击利用
博通表示,尚未发现证据表明 CVE-2023-34048 RCE 漏洞目前被利用于攻击。
无法立即应用今天的安全更新的管理员应严格控制对 vSphere 管理组件和接口(包括存储和网络组件)的网络边界访问,因为此漏洞尚无官方解决方法。
该公司还修补了一个高严重性权限提升漏洞 (CVE-2024-38813),威胁行为者可以利用该漏洞通过特制的网络数据包在易受攻击的服务器上获取 root 权限。
6 月份,它修复了一个类似的 vCenter Server 远程代码执行漏洞 (CVE-2024-37079),该漏洞可通过特制的数据包利用。
今年 1 月,博通披露,一个黑客组织至少从 2021 年底就开始利用 vCenter Server 的一个严重漏洞 (CVE-2023-34048) 作为零日漏洞。
该威胁组织利用它来破坏易受攻击的 vCenter 服务器, 通过恶意制作的 vSphere 安装包 (VIB) 在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。