VMware, Eylül 2024’teki ilk yamada doğru şekilde düzeltilmeyen, kritik bir VMware vCenter Server uzaktan kod yürütme güvenlik açığı olan CVE-2024-38812 için başka bir güvenlik güncellemesi yayınladı.
Kusur kritik olarak derecelendirildi (CVSS v3.1 puanı: 9,8) ve vCenter’ın DCE/RPC protokolü uygulamasındaki yığın taşması zayıflığından kaynaklanıyor ve vCenter Sunucusunu ve vSphere ve Cloud Foundation gibi onu içeren tüm ürünleri etkiliyor.
Özel hazırlanmış bir ağ paketi alındığında uzaktan kod yürütme tetiklendiğinden, kusurdan yararlanmak için kullanıcı etkileşimi gerekmiyor.
Güvenlik açığı, Çin’in 2024 Matrix Cup hackleme yarışması sırasında TZL güvenlik araştırmacıları tarafından keşfedildi ve kullanıldı. Araştırmacılar ayrıca VMware vCenter’ı da etkileyen yüksek önem derecesine sahip bir ayrıcalık yükseltme kusuru olan CVE-2024-38813’ü de ortaya çıkardı.
Bu iki güvenlik açığına ilişkin güvenlik tavsiyesi güncellemesinde VMware, önceki düzeltmelerin RCE kusurunu doğru şekilde düzeltmemesi nedeniyle vCenter 7.0.3, 8.0.2 ve 8.0.3 için yeni yamaların yayınlanması gerektiğini söylüyor.
Güncellenen güvenlik danışma belgesinde “Broadcom’un VMware’i, 17 Eylül 2024’te yayımlanan vCenter yamalarının CVE-2024-38812’yi tam olarak ele almadığını belirledi” ifadesi yer alıyor.
“Tüm müşterilerin şu anda Yanıt Matrisinde listelenen yamaları uygulamaları şiddetle tavsiye edilir.”
En son güvenlik güncellemeleri VMware vCenter Server 8.0 U3d, 8.0 U2e ve 7.0 U3t’de mevcuttur.
vSphere 6.5 ve 6.7 gibi destek sonu tarihi geçen eski ürün sürümlerinin etkilendiği doğrulandı ancak güvenlik güncellemelerini almayacak.
Her iki kusur için de geçici çözüm mevcut olmadığından, etkilenen kullanıcıların en son güncellemeleri mümkün olan en kısa sürede uygulamaları önerilir.
VMware, henüz herhangi bir rapor almadığını veya söz konusu kusurların kullanımda olduğunu gözlemlemediğini belirtti.
Daha fazla bilgi için, bazı noktaların açıklığa kavuşturulmasına yardımcı olmak amacıyla bültene ek olarak yayınlanan bu Soru-Cevap bölümüne göz atın.
Tehdit aktörleri ayrıcalıkları yükseltmek veya sanal makinelere erişim sağlamak için genellikle VMware vCenter kusurlarını hedef aldığından, bu yeni güvenlik güncellemeleri mümkün olan en kısa sürede uygulanmalıdır.
Yılın başında Mandiant, UNC3886 olarak takip edilen Çin devleti destekli bilgisayar korsanlarının, vCenter Server’daki kritik bir güvenlik açığı olan CVE-2023-34048’i VMware ESXi sanal makinelerine sıfır gün arka kapısı olarak kullandıklarını açıkladı.