VMware, savunmasız sunucularda uzaktan kod yürütme saldırıları gerçekleştirmek için kullanılabilecek kritik bir vCenter Sunucusu güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
vCenter Server, VMware’in vSphere paketinin merkezi yönetim merkezidir ve yöneticilerin sanallaştırılmış altyapıyı yönetmesine ve izlemesine yardımcı olur.
Güvenlik açığı (CVE-2023-34048), Trend Micro’nun Sıfır Gün Girişimi’nden Grigory Dorodnov tarafından bildirildi ve vCenter’ın DCE/RPC protokolü uygulamasındaki sınır dışı yazma zayıflığından kaynaklanıyor.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan yararlanabilir. Şirket, CVE-2023-34048 RCE hatasının şu anda saldırılarda kullanıldığına dair hiçbir kanıt bulunmadığını söylüyor.
Bu sorunu gideren güvenlik yamalarına artık standart vCenter Sunucusu güncelleme mekanizmaları aracılığıyla erişilebiliyor. Bu hatanın kritik doğası nedeniyle VMware, artık aktif destek altında olmayan birden fazla kullanım ömrü sonu ürünü için de yamalar yayınlamıştır.
“VMware, VMware Güvenlik Önerilerinde kullanım ömrü sona eren ürünlerden bahsetmese de, bu güvenlik açığının kritik ciddiyeti ve geçici çözüm eksikliği nedeniyle VMware, vCenter Server 6.7U3, 6.5U3 ve VCF 3.x için genel kullanıma sunulan bir düzeltme eki sunmuştur. ” dedi şirket.
“Aynı nedenlerle VMware, vCenter Server 8.0U1 için ek yamalar kullanıma sundu. VCF 5.x ve 4.x dağıtımları için Async vCenter Server yamaları kullanıma sunuldu.”
Geçici çözüm mevcut değil
Geçici bir çözüm mevcut olmadığından VMware, yöneticilerin, depolama ve ağ bileşenleri de dahil olmak üzere vSphere yönetim bileşenlerine ve arayüzlerine ağ çevre erişimini sıkı bir şekilde kontrol etmelerini ister.
Bu güvenlik açığını hedef alan saldırılarda potansiyel istismarla bağlantılı belirli ağ bağlantı noktaları 2012/tcp, 2014/tcp ve 2020/tcp’dir.
Şirket ayrıca, CVE-2023-34056 olarak takip edilen 4,3/10 önem derecesine sahip CVSS taban puanına sahip, yönetimsel olmayan ayrıcalıklara sahip tehdit aktörlerinin hassas verilere erişmek için vCenter sunucularında kullanılabilecek kısmi bir bilgi ifşa güvenlik açığını da yamaladı.
VMware ayrı bir SSS belgesinde “Bu acil bir değişiklik olarak değerlendirilebilir ve kuruluşunuzun hızlı hareket etmeyi düşünmesi gerekir” dedi.
“Ancak, tüm güvenlik yanıtları bağlama bağlıdır. Kuruluşunuz için doğru eylem planını belirlemek için lütfen kuruluşunuzun bilgi güvenliği personeline danışın.”
Haziran ayında VMware, çok sayıda yüksek önem derecesine sahip vCenter Server güvenlik açığını yamalayarak kod yürütme ve kimlik doğrulamayı atlama risklerini azalttı.
Aynı hafta VMware, Çinli devlet korsanları tarafından veri hırsızlığı saldırılarında istismar edilen bir ESXi sıfır gününü düzeltti ve müşterileri, o zamandan beri yamalı olan, Aria Operations for Networks analiz aracında aktif olarak yararlanılan kritik bir kusur konusunda uyardı.