Broadcom bugün, saldırganların VMware vCenter Server’daki iki güvenlik açığından yararlandığı konusunda uyardı; bunlardan biri kritik uzaktan kod yürütme hatasıdır.
TZL güvenlik araştırmacıları, Çin’in 2024 Matrix Cup hackleme yarışması sırasında RCE güvenlik açığını (CVE-2024-38812) bildirdi. Bu durum, vCenter’ın DCE/RPC protokolü uygulamasındaki yığın taşması zayıflığından kaynaklanır ve VMware vSphere ve VMware Cloud Foundation dahil olmak üzere vCenter içeren ürünleri etkiler.
Şu anda yaygın olarak kullanılan diğer vCenter Sunucusu kusuru (aynı araştırmacılar tarafından rapor edilmiştir), saldırganların özel hazırlanmış bir ağ paketiyle ayrıcalıkları root’a yükseltmesine olanak tanıyan, CVE-2024-38813 olarak takip edilen bir ayrıcalık yükseltme kusurudur.
Broadcom Pazartesi günü yaptığı açıklamada, “Broadcom tarafından sunulan VMware’in, CVE-2024-38812 ve CVE-2024-38813 için yaygın olarak istismarın meydana geldiğini doğruladığını belirten güncellenmiş uyarı” dedi.
Şirket, her iki güvenlik açığını da gidermek için Eylül ayında güvenlik güncellemeleri yayınladı. Yine de, yaklaşık bir ay sonra, orijinal CVE-2024-38812 yamasının kusuru tam olarak gidermediğine dair güvenlik danışma uyarısını güncelledi ve yöneticileri yeni yamaları uygulamaya “güçlü bir şekilde” teşvik etti.
Bu güvenlik açıklarına yönelik herhangi bir geçici çözüm mevcut olmadığından etkilenen müşterilerin, bunlardan aktif olarak yararlanan saldırıları engellemek için en son güncellemeleri hemen uygulamaları önerilir.
Broadcom ayrıca güvenlik güncellemelerinin savunmasız sistemlere dağıtılması ve halihazırda yükseltme yapmış olanları etkileyebilecek bilinen sorunlar hakkında ek bilgiler içeren ek bir danışma belgesi yayınladı.
Haziran ayında şirket, saldırganların özel hazırlanmış paketler yoluyla da yararlanabileceği benzer bir vCenter Server RCE güvenlik açığını (CVE-2024-37079) düzeltti.
Fidye yazılımı çeteleri ve devlet destekli bilgisayar korsanlığı grupları da dahil olmak üzere tehdit aktörleri sıklıkla VMware vCenter’daki güvenlik açıklarını hedef alıyor. Örneğin Ocak ayında Broadcom, Çinli devlet korsanlarının en az 2021’in sonlarından bu yana kritik bir vCenter Sunucusu güvenlik açığından (CVE-2023-34048) sıfır gün olarak yararlandığını ortaya çıkardı.
Bu tehdit grubu (güvenlik firması Mandiant tarafından UNC3886 olarak takip ediliyor), kötü niyetli olarak hazırlanmış vSphere Kurulum Paketleri (VIB’ler) aracılığıyla ESXi ana bilgisayarlarına VirtualPita ve VirtualPie arka kapılarını dağıtmak için kusuru kötüye kullandı.