VMware

Broadcom は本日、攻撃者が VMware vCenter Server の 2 つの脆弱性を悪用していることを警告しました。

TZL のセキュリティ研究者は、中国の 2024 Matrix Cup ハッキングコンテスト中に RCE 脆弱性(CVE-2024-38812)を報告しました。この脆弱性は、vCenterのDCE/RPCプロトコル実装におけるヒープオーバーフローの脆弱性によって引き起こされ、VMware vSphereやVMware Cloud Foundationを含むvCenterを含む製品に影響を及ぼす。

現在悪用されているもう1つのvCenter Serverの不具合(同じ研究者によって報告されている)は、CVE-2024-38813として追跡されている特権昇格の不具合であり、攻撃者は特別に細工されたネットワークパケットを使用して権限をrootに昇格させることができます。

「VMware by Broadcom は、CVE-2024-38812 および CVE-2024-38813 について、悪用が実際に発生したことを確認したため、アドバイザリを更新しました

同社は9月にセキュリティ更新プログラムをリリースし、両脆弱性を修正した。しかし、それから約 1 か月後、同社はセキュリティ勧告を更新し、元の CVE-2024-38812パッチでは欠陥に完全に対処できていないことを警告し、管理者に新しいパッチを適用するよう「強く」推奨した。

これらのセキュリティ欠陥に対する回避策はないため、影響を受ける顧客は、最新のアップデートを直ちに適用し、これらの欠陥を悪用する攻撃を阻止することが推奨される。

Broadcom はまた、脆弱性のあるシステムへのセキュリティ更新プログラムの適用に関する追加情報や、すでにアップグレードしたユーザーに影響を与える可能性のある既知の問題についての補足勧告も発表しています。

同社は6月に、攻撃者が特別に細工したパケットを介して悪用する可能性のある同様の vCenter Server RCE 脆弱性(CVE-2024-37079)を修正しました。

ランサムウェア・ギャングや国家に支援されたハッキング・グループなどの脅威当事者は、VMware vCenterの脆弱性を頻繁に狙っている。例えば、1月にBroadcomは、中国の国家ハッカーが少なくとも2021年後半からvCenter Serverの重大な脆弱性(CVE-2023-34048)をゼロデイとして悪用していたことを明らかにしました。

この脅威グループ(セキュリティ企業MandiantがUNC3886として追跡)は、この欠陥を悪用し、悪意を持って細工されたvSphere Installation Bundles(VIB)を介して、ESXiホスト上にVirtualPitaおよびVirtualPieバックドアを展開していた。