Broadcom heeft dinsdag updates uitgebracht om een kritieke beveiligingsfout te verhelpen die gevolgen heeft voor VMware vCenter Server en die de weg vrijmaakt voor uitvoering van code op afstand.
De kwetsbaarheid, geregistreerd als CVE-2024-38812 (CVSS-score: 9,8), is beschreven als een heap-overflow-kwetsbaarheid in het DCE/RPC-protocol.
“Een kwaadwillende actor met netwerktoegang tot vCenter Server kan deze kwetsbaarheid activeren door een speciaal samengesteld netwerkpakket te versturen dat mogelijk leidt tot uitvoering van code op afstand”, aldus de leverancier van virtualisatieservices in een bulletin.
Deze tekortkoming is vergelijkbaar met twee andere fouten met betrekking tot het op afstand uitvoeren van code, CVE-2024-37079 en CVE-2024-37080 (CVSS-scores: 9,8), die VMware in juni 2024 in vCenter Server heeft opgelost.
VMware heeft ook een probleem met privilege-escalatie in de vCenter Server aangepakt (CVE-2024-38813, CVSS-score: 7,5). Hierdoor kan een kwaadwillende gebruiker met netwerktoegang tot de instantie privileges naar root escaleren door een speciaal samengesteld netwerkpakket te versturen.
Beveiligingsonderzoekers zbl en srs van team TZL hebben de twee fouten ontdekt en gemeld tijdens de Matrix Cup cybersecurity-competitie die in juni 2024 in China werd gehouden. Ze zijn opgelost in de onderstaande versies:
- vCenter Server 8.0 (opgelost in 8.0 U3b)
- vCenter Server 7.0 (opgelost in 7.0 U3s)
- VMware Cloud Foundation 5.x (opgelost in 8.0 U3b als asynchrone patch)
- VMware Cloud Foundation 4.x (opgelost in 7.0 U3s als asynchrone patch)
Broadcom zegt niet op de hoogte te zijn van kwaadaardig misbruik van de twee kwetsbaarheden, maar heeft klanten wel dringend verzocht hun installaties bij te werken naar de nieuwste versies om zichzelf te beschermen tegen mogelijke bedreigingen.
“Deze kwetsbaarheden zijn problemen met geheugenbeheer en corruptie die kunnen worden gebruikt tegen VMware vCenter-services, waardoor mogelijk code op afstand kan worden uitgevoerd”, aldus het bedrijf.
Deze ontwikkeling komt nadat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) een gezamenlijk advies hebben uitgebracht waarin organisaties worden aangespoord om te werken aan het elimineren van cross-site scripting (XSS)-fouten die cybercriminelen kunnen misbruiken om systemen binnen te dringen.
“Cross-site scripting kwetsbaarheden ontstaan wanneer fabrikanten er niet in slagen om inputs goed te valideren, te saneren of te ontsnappen,” aldus de overheidsinstanties. “Deze fouten stellen dreigingsactoren in staat om kwaadaardige scripts in webapplicaties te injecteren, en deze te misbruiken om data in verschillende contexten te manipuleren, stelen of misbruiken.”