This post is also available in: Português
As vulnerabilidades CVE-2024-37079 e CVE-2024-37080 identificadas recentemente no VMware vCenter Server representam riscos para a segurança das infraestruturas virtuais em empresas no mundo inteiro, inclusive no Brasil. As vulnerabilidades, foram classificadas com severidade Crítica e Alta, de acordo com o Common Vulnerability Scoring System (CVSS), ressaltam a necessidade urgente de correções e implementação de patches de segurança.
VMware vCenter Server
O VMware vCenter Server é uma plataforma de gerenciamento centralizada para ambientes virtualizados VMware. Com o vCenter Server, administradores podem gerenciar de maneira eficiente e eficaz os recursos de infraestrutura virtual, incluindo máquinas virtuais (VMs), hosts ESXi, clusters e datastores.
CVE-2024-37079 e CVE-2024-37080
As CVE-2024-37079 e CVE-2024-37080 estão relacionadas a uma falha na implementação do protocolo DCE/RPC (Distributed Computing Environment/Remote Procedure Calls), responsável por gerar uma vulnerabilidade de Heap-Overflow.
Entendendo o Heap-Overflow e DCERPC
Um heap-overflow é um tipo de vulnerabilidade de buffer overflow que ocorre na área de heap da memória. Esta área é usada para alocação dinâmica de memória em tempo de execução. Se um programa escreve mais dados do que o espaço alocado no heap, ele pode sobrescrever dados na memória, o que pode levar a comportamentos inesperados, como falhas do na aplicação ou execução de código malicioso.
O DCERPC é um protocolo de comunicação que permite a execução de procedimentos remotos entre sistemas distribuídos. Ele é amplamente usado em ambientes Windows e também em outros sistemas para permitir a comunicação e a execução de comandos remotamente.
A vulnerabilidade está localizada na implementação do protocolo DCERPC no vCenter Server. Especificamente, o problema é um heap-overflow que pode ser desencadeado por um ator malicioso que tenha acesso à rede onde o vCenter Server está localizado.
Contexto de exploração
Necessidade de acesso à Rede: O atacante deve ser capaz de enviar pacotes de rede ao vCenter Server. Isso geralmente significa que ele precisa estar na mesma rede local ou ter algum caminho de comunicação com o servidor.
Customização de pacote de rede: O atacante pode enviar um pacote de rede especialmente formulado para explorar a falha. Esse pacote contém dados estruturados de maneira específica para desencadear o heap-overflow.
Consequência da exploração
Se explorada com sucesso, a vulnerabilidade pode permitir que o atacante execute código arbitrário no servidor vCenter. Isso significa que o atacante pode assumir o controle do servidor, executar comandos, acessar dados confidenciais ou comprometer ainda mais a rede.
Correções disponíveis
As duas vulnerabilidades foram relatadas de forma privada por pesquisadores de segurança e afetam as versões 7.0 e 8.0 do vCenter Server, bem como as versões 4.xe 5.x do Cloud Foundation.
Segundo a empresa, em um documento de perguntas frequentes, os produtos que já passaram das datas de fim do suporte (end of life) (vSphere 6.5 ou 6.7) não são avaliados como parte dos avisos de segurança. Caso a organização tenha suporte estendido, pode utilizar esses processos para solicitar assistência.
Os clientes são aconselhados a implementar as correções ou atualizar conforme necessário, pois não há soluções alternativas disponíveis.
“Muitos dispositivos, como o vCenter Server Appliance (VCSA), possuem recursos de firewall acessíveis por meio da Virtual Appliance Management Interface (VAMI). Este firewall pode ser usado para ajudar a restringir o acesso e potencialmente ajudar a mitigar vulnerabilidades.”
Dada a gravidade dessas vulnerabilidades, é importante que as organizações afetadas apliquem imediatamente os patches disponibilizados pela VMware. A aplicação dessas atualizações é essencial para mitigar os riscos associados a essas vulnerabilidades e proteger a infraestrutura contra possíveis ataques.
A descoberta e a correção rápida dessas vulnerabilidades destacam a importância de manter os sistemas atualizados e de realizar auditorias de segurança regulares. Além disso, a colaboração entre a comunidade de segurança cibernética e as empresas de software é vital para identificar e corrigir falhas antes que possam ser exploradas de maneira maliciosa.
A aplicação dos patches fornecidos pela VMware não só protege contra essas vulnerabilidades específicas, mas também fortalece a segurança geral do ambiente virtualizado, garantindo a continuidade dos negócios e a integridade dos dados.
This post is also available in: Português