This post is also available in: Português
As vulnerabilidades críticas CVE-2024-38812 e CVE-2024-38813, divulgadas em setembro de 2024, destacam a crescente preocupação com a segurança em ambientes virtualizados. Ambas afetam o VMware vCenter Server, um dos pilares para gerenciamento de infraestrutura virtual em muitas organizações. A gravidade dessas falhas, somada ao fato de estarem sendo ativamente exploradas, ressalta a urgência de ações corretivas.
Estas falhas permitem que atacantes comprometam o sistema com execução remota de código (RCE) não autenticada e escalonamento de privilégios, explorando problemas relacionados ao gerenciamento de permissões e verificações inadequadas. Juntas, essas vulnerabilidades criam uma cadeia de ataque potencialmente devastadora, tornando essencial a aplicação imediata dos patches de segurança fornecidos pela VMware.
Produtos afetados e gravidade
As falhas afetam versões 7.0 e 8.0 do VMware vCenter Server. A CVE-2024-38812, com pontuação CVSS 9.8, é uma vulnerabilidade de execução remota de código (RCE) que permite a um atacante remoto, sem autenticação, obter controle completo do sistema comprometido. Já a CVE-2024-38813, também com pontuação CVSS 9.8, é uma falha de escalonamento de privilégios, permitindo que um atacante expanda sua autoridade após comprometer o ambiente.
Detalhes das vulnerabilidades
Essas falhas exploram problemas relacionados à gestão de privilégios no VMware. A CVE-2024-38812 pode permitir que processos sejam executados com mais permissões do que o necessário. Um atacante pode explorar esta falha ao enviar solicitações específicas que desencadeiem um estouro de heap na comunicação via DCERPC, resultando em execução de código remoto.
A CVE-2024-38813 possibilita que um atacante mantenha persistência no sistema ao ignorar verificações adequadas durante operações de API do vCenter.
Ambas as vulnerabilidades podem ser exploradas em conjunto, criando uma “simbiose de vulnerabilidade” que amplia o impacto. Inicialmente, a CVE-2024-38812 é usada para obter acesso não autorizado, enquanto a CVE-2024-38813 garante escalonamento de privilégios e persistência.
É importante ressaltar que explorações bem-sucedidas podem comprometer completamente a infraestrutura virtualizada de uma organização. Isso inclui acesso a dados sensíveis, interrupção de serviços e controle total de ambientes de produção.
Exploração ativa e recomendações
As vulnerabilidades CVE-2024-38812 e CVE-2024-38813 já foram confirmadas como ativamente exploradas, tornando ainda mais crítico o processo de mitigação.
Organizações relataram tentativas de ataque utilizando essas falhas, e análises indicam que exploits estão sendo vendidos em plataformas como o GitHub.
Essa exploração ativa eleva o risco de comprometimento de infraestruturas virtualizadas, especialmente para sistemas que ainda não aplicaram os patches de segurança fornecidos pela VMware.
Diante desse cenário, a aplicação imediata das atualizações é essencial para evitar o comprometimento. Além disso, é recomendado que as organizações monitorem logs de atividades suspeitas e implementem medidas preventivas, como restringir o acesso externo ao vCenter Server e configurar regras de firewall. A adoção dessas práticas, junto ao patching regular, é a maneira mais eficaz de minimizar os riscos associados a essas vulnerabilidades.
This post is also available in: Português
