UWAGA! Krytyczne podatności RCE w VMware vCenter, vSphere i Cloud Foundation. Łatajcie!

Wskazano w nim kilka krytycznych luk w zabezpieczeniach, w tym problemy z przepełnieniem sterty i eskalacją uprawnień lokalnych. Najpoważniejszym z błędów zostały przypisane następujące numery CVE: CVE-2024-37079, CVE-2024-37080 i CVE-2024-37081.

„Złośliwy aktor mający dostęp sieciowy do vCenter Server może uruchomić te luki, wysyłając specjalnie spreparowany pakiet sieciowy, który może potencjalnie doprowadzić do zdalnego wykonania kodu” – stwierdziła firma, zaznaczając jednak, że obecnie nie ma informacji, by luki były wykorzystywane „na wolności”.

Na podstawie powyższego wnioskujemy, że sytuacja jest krytyczna i zalecamy jak najszybszą aktualizację środowisk.

Szczegóły luk w VMware

VMware vCenter Server to popularne rozwiązanie do zarządzania serwerami, służące do kontrolowania środowisk vSphere (wirtualnej chmury obliczeniowej). VMware Cloud Foundation pozwala na wdrażanie infrastruktury chmury hybrydowej i zarządzanie nią.

CVE-2024-37079 i CVE-2024-37080 to luki w zabezpieczeniach związane z przepełnieniem sterty w implementacji protokołu DCE/RPC. Mają wysoki wskaźnik ważności, ponieważ mogą zostać wykorzystane przez nieuwierzytelnionych zdalnych atakujących bez jakiejkolwiek interakcji z użytkownikiem.

Jednocześnie firma VMware naprawiła kilka luk w zabezpieczeniach związanych z eskalacją uprawnień lokalnych (CVE-2024-37081), które mogą wynikać z błędnej konfiguracji sudo i umożliwiać uwierzytelnionemu użytkownikowi lokalnemu z uprawnieniami innymi niż administracyjne podniesienie uprawnień do rootowania na urządzeniu vCenter Server Appliance.

Luki w zabezpieczeniach związane z przepełnieniem sterty (CVE-2024-37079, CVE-2024-37080)

Luki występują podczas implementowania protokołu DCERPC na serwerze vCenter. Przypisano im maksymalny wynik podstawowy CVSSv3 wynoszący 9,8, co wskazuje na krytyczną dotkliwość.

Złośliwy aktor mający dostęp sieciowy do serwera vCenter może je wykorzystać, wysyłając specjalnie spreparowane pakiety sieciowe, co może prowadzić do zdalnego wykonania kodu.

Luka w zabezpieczeniach umożliwiająca eskalację uprawnień lokalnych (CVE-2024-37081)

Błąd wynika z błędnej konfiguracji sudo na serwerze vCenter, umożliwiając uwierzytelnionemu użytkownikowi lokalnemu z uprawnieniami innymi niż administracyjne podniesienie uprawnień do uprawnień roota. Jego podstawowy wynik CVSSv3 wynosi 7,8 („ważny”).

Uwierzytelniony użytkownik lokalny może wykorzystać tę lukę, aby uzyskać dostęp do konta root na urządzeniu vCenter Server Appliance.

Producent wydał poprawki dla wszystkich wymienionych powyżej podatności.

Jak zweryfikować poprawki na vCenter?

Wykonując poniższe kroki, organizacje mogą skutecznie sprawdzić, czy najnowsze poprawki zostały pomyślnie zastosowane na ich serwerze vCenter, zapewniając aktualność i bezpieczeństwo systemu.

1.Uzyskaj dostęp do powłoki urządzenia:

• Poprzez zalogowanie się do powłoki vCenter Server Appliance jako użytkownik z uprawnieniami superadministratora (zazwyczaj użytkownik root).

2.Sprawdź listę zainstalowanych poprawek:

• Użyj narzędzia „software-packages”, aby wyświetlić listę zainstalowanych poprawek. Uruchom następujące polecenie, aby wyświetlić wszystkie poprawki aktualnie zastosowane w urządzeniu vCenter Server Appliance: „bash software-packages list”.
• Aby wyświetlić poprawki w kolejności chronologicznej, użyj: „bash software-packages list –history”,
• To polecenie udostępnia szczegółową listę wszystkich zastosowanych poprawek, w tym datę instalacji i inne istotne szczegóły.

3. Sprawdź szczegóły dla konkretnej poprawki:

• Jeśli chcesz zweryfikować szczegóły dotyczące konkretnej poprawki, użyj następującego polecenia: „bash software-packages list –patch <patch_name>”.
• Zamień <patch_name> na rzeczywistą nazwę poprawki, którą chcesz sprawdzić. Na przykład: „bash software-packages list –patch VMware-vCenter-Server-Appliance-Patch1”
• To polecenie wyświetli szczegółowe informacje na temat określonej poprawki, takie jak dostawca, opis i data instalacji.

4. Użyj interfejsu zarządzania serwerem vCenter (VAMI):

• Zaloguj się do VAMI pod adresem https://<vcenter-hostname-or-IP>:5480, używając konta root.
• Przejdź do sekcji „Aktualizacja”. W okienku „Szczegóły bieżącej wersji” możesz wyświetlić wersję i numer kompilacji vCenter Server.
• Okienko „Dostępne aktualizacje” pokaże status aktualizacji, w tym informację, czy zostały pomyślnie zainstalowane.

5. Po zastosowaniu poprawek upewnij się, że urządzenie vCenter Server Appliance działa poprawnie.

• Sprawdź usługi krytyczne i wykonaj rutynowe operacje, aby potwierdzić, że system jest stabilny i działa zgodnie z oczekiwaniami.