Güvenlik araştırmacıları, VMware vCenter Server’da CVE-2024-38812 olarak tanımlanan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını keşfetti ve ayrıntılı olarak açıkladı.
Sunucunun DCERPC (Dağıtılmış Bilgi İşlem Ortamı/Uzaktan Prosedür Çağrısı) protokolünü uygulamasını etkileyen bu yığın taşması kusuru, VMware’in sanallaştırma yönetim platformunu kullanan kuruluşlar için önemli bir tehdit oluşturmaktadır.
Eylül 2024’te yayınlanan güvenlik açığı, aşırı ciddiyetini ve yüksek istismar riskini gösteren CVSS puanı 9,8’dir. VMware vCenter Server sürüm 8.0U3a güvenlik açığına sahiptir; sürüm 8.0U3b ise bu sorunu azaltmak için gerekli yamaları içerir.
Kusur aynı zamanda VMware’in güvenlik danışma belgesi VMSA-2024-0019’da belirtildiği gibi VMware Cloud Foundation’ı da etkiliyor.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
VMWare vCenter Sunucusu PoC Yayınlandı
Güvenlik uzmanları, güvenlik açığının derinlemesine bir analizini yaparak bunun yığındaki hatalı bellek yönetiminden kaynaklandığını ortaya çıkardı.
Bu kusur, vCenter Sunucusuna ağ erişimi olan kötü niyetli bir aktörün özel hazırlanmış paketler göndermesine olanak tanıyor ve bu da potansiyel olarak uzaktan kod yürütülmesine yol açıyor.
Güvenlik açığının temel nedeni, kullanıcı girişi tarafından kontrol edilen range_list->lower değerini işleyen rpc_ss_ndr_contiguous_elt() işlevinde yatmaktadır.
Bu işlev, saldırgan tarafından kontrol edilen range_list->lower değeri de dahil olmak üzere çeşitli parametrelerden türetilen bir uzaklık ekleyerek p_array_addr’nin temel adresini değiştirir.
Saldırgan, bu değeri değiştirerek p_array_addr’ın işaret ettiği bellek adresini kontrol edebilir ve potansiyel olarak kritik bellek alanlarında okuma veya yazma işlemlerine izin verebilir.
Araştırmacılar, güvenlik açığının dikkatle hazırlanmış bir ağ paketi kullanılarak tetiklenebileceğini gösterdi. Paketin “stub_data” bölümü, bir dizinin uyumluluk bilgisini temsil eden ve daha sonra güvenlik açığı bulunan işlev tarafından işlenen Z_değerlerini içerir.
Saldırgan, bu değerleri değiştirerek yığın taşmasına ve olası kod yürütülmesine yol açacak koşullar yaratabilir.
Bu güvenlik açığından yararlanılması, rpc_ss_ndr_unmar_by_copying() işlevindeki memcpy işlevinden yararlanmayı içerir; burada saldırgan tarafından kontrol edilen giriş, hem hedef işaretçiyi (p_array_addr) hem de kopyalanacak veri uzunluğunu (IDL_left_in_buff) etkileyebilir.
Bu, saldırganın hem bellek hedefini hem de kopyalanan bellek miktarını kontrol etmesine olanak tanıyarak belleğin bozulması riskini artırır.
VMware, bu güvenlik açığını vCenter Sunucusunun 8.0U3b sürümünde gidermiştir. Yama, bellek sınırı hesaplamaları üzerinde ek kontroller sağlar ve sınırsız işaretçi aritmetiğini önleyerek uzaktan yararlanma potansiyelini önemli ölçüde azaltır.
VMware vCenter Server’ın etkilenen sürümlerini kullanan kuruluşların, yamalı sürüme hemen güncelleme yapmaları önemle tavsiye edilir.
Bu güvenlik açığı, özellikle VMware vCenter Server gibi yaygın olarak kullanılan yönetim platformları için kurumsal ortamlarda hızlı düzeltme eki uygulama ve düzenli güvenlik değerlendirmelerinin kritik önemini vurgulamaktadır.
Sanallaştırma, modern BT altyapısında önemli bir rol oynamaya devam ederken, bu tür güvenlik açıklarının derhal ele alınması, kurumsal ağların güvenliğini ve bütünlüğünü korumak açısından büyük önem taşıyor.
Güvenlik uzmanları, kuruluşların potansiyel istismar girişimlerini tespit etmek ve bunlara yanıt vermek için yamayı uygulamasını ve ağ bölümlendirmesi, düzenli güvenlik açığı değerlendirmeleri ve güçlü izleme sistemleri gibi ek güvenlik önlemlerini uygulamasını önermektedir.
Güncel yedeklemelerin sürdürülmesi ve kapsamlı bir olay müdahale planına sahip olmak, bu tür kritik güvenlik açıklarının potansiyel etkisini azaltmada önemli adımlardır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!