Broadcom, vCenter Server’da önceden düzeltilen güvenlik açıkları (CVE-2024-38812, CVE-2024-38813) için yeni yamalar yayınladı. Bu yamalardan biri ilk seferde tam olarak ele alınamadı ve saldırganların uzaktan kod yürütmesine izin verebilir.
Güvenlik açıkları, Haziran 2024’te 2024 Matrix Kupası’na katılan araştırmacılar olan TZL ekibinin zbl ve srs’leri tarafından özel olarak rapor edildi. Broadcom, şu anda “vahşi ortamda” istismarın farkında olmadıklarını ileri sürüyor.
CVE-2024-38812 ve CVE-2024-38813
VMware vCenter Server, VMware vSphere sanal ortamlarını yönetmeye yönelik kurumsal bir yazılımdır.
CVE-2024-38812, DCERPC protokolünün uygulanmasında RCE’ye yol açabilen ve güvenlik açığı bulunan bir kuruluma özel hazırlanmış bir ağ paketi gönderilerek tetiklenebilen, kimliği doğrulanmamış bir yığın taşması güvenlik açığıdır.
CVE-2024-38813, saldırganlar tarafından ayrıcalıkları root’a yükseltmek için benzer şekilde tetiklenebilir.
Yeni yamaları uygulayın
Yeni güncellemeler, CVE-2024-38812 düzeltmesini tamamlamanın yanı sıra, ilk yamanın yarattığı operasyonel sorunu da çözüyor: vCenter’a erişirken oturum zaman aşımları.
Broadcom, müşterilerini güncellenmiş danışma belgesinde listelenen yeni yamaları uygulamaları konusunda güçlü bir şekilde teşvik etmektedir.
Yanlış anlaşılmayı önlemek için şirket, ek rehberlik sunan ek bir SSS yayınladı.
Belgede, CVE-2024-38812 ve CVE-2024-38813’ün VMware vCenter’ı ve VMware vSphere ve VMware Cloud Foundation da dahil olmak üzere vCenter içeren tüm ürünleri etkilediği belirtiliyor.
Sağlanan yamalar vCenter 7.0.3, 8.0.2 ve 8.0.3 için geçerlidir ve VMware Cloud Foundation 4.x ve 5.x için eşzamansız yamalar mevcuttur.
Güvenlik açıkları aynı zamanda Genel Destek Sonu tarihlerini geçmiş olan VMware vSphere 6.5 ve 6.7’yi de etkiliyor.
“Ancak vSphere 6.7’nin son güncellemesi bu sorunu çözmeye yönelik güncellemeler içeriyor. vSphere 6.5 için bir güncelleme olmayacak. Kuruluşunuz desteğin kapsamını genişlettiyse lütfen yardım istemek için bu süreçleri kullanın.” şeklinde tavsiyede bulundu.
“Bir sistemin etkilenip etkilenmediği konusunda herhangi bir belirsizlik varsa, sistemin savunmasız olduğu varsayılmalı ve derhal harekete geçilmelidir.”