Broadcom, saldırganların ağ paketi aracılığıyla yama uygulanmamış sunucularda uzaktan kod yürütme elde etmek için yararlanabileceği kritik bir VMware vCenter Server güvenlik açığını düzeltti.
vCenter Server, VMware’in vSphere paketi için merkezi yönetim merkezidir ve yöneticilerin sanallaştırılmış altyapıyı yönetmesine ve izlemesine yardımcı olur.
TZL güvenlik araştırmacıları tarafından Çin’in 2024 Matrix Kupası hack yarışması sırasında bildirilen güvenlik açığı (CVE-2024-38812), vCenter’ın DCE/RPC protokol uygulamasındaki bir yığın taşma zayıflığından kaynaklanmaktadır. Ayrıca VMware vSphere ve VMware Cloud Foundation dahil olmak üzere vCenter içeren ürünleri de etkiler.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarla, “potansiyel olarak uzaktan kod yürütülmesine yol açabilecek özel olarak hazırlanmış bir ağ paketi göndererek” bunu uzaktan kullanabilirler.
Bu güvenlik açığını gideren güvenlik yamalarına artık standart vCenter Server güncelleme mekanizmaları aracılığıyla erişilebiliyor.
Şirket, “Kendiniz ve kuruluşunuz için tam koruma sağlamak amacıyla, VMware Güvenlik Danışma Bülteni’nde listelenen güncelleme sürümlerinden birini yükleyin” dedi.
“Kuruluşunuzun güvenlik duruşuna, derinlemesine savunma stratejilerine ve güvenlik duvarı yapılandırmalarına bağlı olarak başka hafifletmeler de mevcut olabilir; ancak her kuruluş bu korumaların yeterliliğini bağımsız olarak değerlendirmelidir.”
Saldırılarda kullanılmaz
Broadcom, CVE-2023-34048 RCE hatasının şu anda saldırılarda kullanıldığına dair bir kanıt bulamadığını söylüyor.
Bugünkü güvenlik güncellemelerini hemen uygulayamayan yöneticiler, depolama ve ağ bileşenleri de dahil olmak üzere vSphere yönetim bileşenlerine ve arayüzlerine ağ çevresi erişimini sıkı bir şekilde kontrol etmelidir; çünkü bu güvenlik açığı için resmi bir geçici çözüm bulunmamaktadır.
Şirket ayrıca bugün, tehdit aktörlerinin özel olarak hazırlanmış bir ağ paketi aracılığıyla savunmasız sunucularda kök ayrıcalıkları elde etmek için kullanabilecekleri yüksek düzeyde ayrıcalık yükseltme güvenlik açığını (CVE-2024-38813) da düzeltti.
Haziran ayında, özel olarak hazırlanmış paketler aracılığıyla istismar edilebilen benzer bir vCenter Server uzaktan kod yürütme güvenlik açığı (CVE-2024-37079) giderildi.
Ocak ayında Broadcom, Çinli bir bilgisayar korsanı grubunun en azından 2021 sonlarından bu yana kritik bir vCenter Server güvenlik açığını (CVE-2023-34048) sıfır gün olarak kullandığını açıklamıştı.
Güvenlik firması Mandiant tarafından UNC3886 olarak takip edilen tehdit grubu, kötü amaçlı olarak hazırlanmış vSphere Kurulum Paketleri (VIB’ler) aracılığıyla ESXi ana bilgisayarlarına VirtualPita ve VirtualPie arka kapılarını dağıtmak için savunmasız vCenter sunucularına sızmak amacıyla bunu kullandı.