Критические уязвимости в VMware vCenter Server (CVE-2024-37079) эксплуатируются спустя год после выпуска патча от Broadcom. CISA внесла брешь в каталог KEV, требуя немедленного устранения. Ошибка в DCERPC может привести к RCE.
Необходимо своевременно обновлять программное обеспечение. Неизвестные злоумышленники активно эксплуатируют критическую уязвимость в VMware vCenter Server, хотя компания Broadcom выпустила исправление для этой бреши более года назад.
Уязвимость, отслеживаемая как CVE-2024-37079, представляет собой ошибку записи за пределами буфера (out-of-bounds write) в реализации протокола DCERPC в vCenter Server. Она получила оценку 9.8 из 10 по шкале CVSS, что означает: это почти максимально опасно.
DCERPC, аббревиатура от Distributed Computing Environment/Remote Procedure Calls (Удаленный вызов процедур среды распределенных вычислений), позволяет программному обеспечению вызывать процедуры и службы на удаленной системе через сеть. Эту уязвимость может использовать любой, имеющий сетевой доступ к vCenter Server, для отправки специально сформированных сетевых пакетов, что потенциально может привести к удаленному выполнению кода (RCE). В пятницу и производитель, и федеральные органы предупредили, что такая эксплуатация уже происходит.
“У Broadcom есть информация, свидетельствующая о том, что CVE-2024-37079 уже эксплуатируется в реальных условиях”, — предупредила компания в обновлении своего бюллетеня по безопасности от 18 июня 2024 года.
Также в пятницу Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило эту критическую уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV). Это означает, что федеральные агентства обязаны устранить этот дефект до 13 февраля. При этом следует отметить, что Broadcom выпустила обновление ПО, исправляющее эту CVE более полутора лет назад, и июнь 2024 года был бы оптимальным сроком для развертывания патча.
В списке KEV агентства CISA использование этой уязвимости в кампаниях по распространению программ-вымогателей указано как “неизвестное”. Broadcom не предоставила подробностей о масштабах эксплуатации и не ответила на запросы The Register относительно злоупотребления CVE-2024-37079. Мы обновим эту статью, как только узнаем больше о том, кто использует эту уязвимость и что они делают с незаконным доступом к vCenter Server предприятий.
Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck, заявила The Register, что инфраструктура виртуализации, включая vCenter Server от Broadcom, является излюбленной мишенью как для хакеров, спонсируемых государством, так и для киберпреступников, действующих из финансовых побуждений.
“В качестве примера, CVE-2023-34048, предыдущая уязвимость в протоколе DCERPC vCenter Server, эксплуатировалась как минимум тремя известными угрожающими группировками с связями с Китаем (Fire Ant, Warp Panda и UNC3886)”, — сказала Кондон.
Кондон отметила, что не удивлена эксплуатацией этой ошибки атакующими, учитывая, что подробности об уязвимости были общедоступны более года.
“Часто можно наблюдать, как угрожающие группировки, включая спонсируемые государствами, оппортунистически используют даже более старую информацию об общедоступных уязвимостях для проведения новых атак, поэтому не слишком удивительно, что эта уязвимость была замечена в эксплуатации в реальных условиях”, — добавила она.
“Хотя нет немедленных подробностей о причастности хакеров или их действиях, vCenter Server никогда и ни при каких обстоятельствах не должен быть доступен из публичного интернета, поэтому, вероятно, противник уже имел точку опоры в среде жертвы”, — заключила Кондон. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons