Broadcom hat am Dienstag Updates veröffentlicht, um eine kritische Sicherheitslücke in VMware vCenter Server zu beheben, die die Ausführung von Remotecode ermöglichen könnte.
Die Schwachstelle, die als CVE-2024-38812 (CVSS-Score: 9,8) verfolgt wird, wurde als Heap-Overflow-Schwachstelle im DCE/RPC-Protokoll beschrieben.
„Ein böswilliger Akteur mit Netzwerkzugriff auf vCenter Server kann diese Schwachstelle durch das Senden eines speziell gestalteten Netzwerkpakets auslösen, was möglicherweise zur Ausführung von Remotecode führen kann“, so der Anbieter von Virtualisierungsdiensten in einem Bulletin.
Die Schwachstelle ähnelt zwei anderen Sicherheitslücken bezüglich Remotecodeausführung, CVE-2024-37079 und CVE-2024-37080 (CVSS-Scores: 9,8), die VMware im Juni 2024 in vCenter Server behoben hat.
VMware behebt außerdem eine Sicherheitslücke bezüglich der Berechtigungseskalation in vCenter Server (CVE-2024-38813, CVSS-Score: 7,5), die es einem böswilligen Akteur mit Netzwerkzugriff auf die Instanz ermöglichen könnte, durch das Senden eines speziell gestalteten Netzwerkpakets Berechtigungen auf Root zu eskalieren.
Den Sicherheitsforschern zbl und srs vom Team TZL wird die Entdeckung und Meldung der beiden Schwachstellen während des Cybersecurity-Wettbewerbs Matrix Cup zugeschrieben, der im Juni 2024 in China stattfand. Sie wurden in den folgenden Versionen behoben:
vCenter Server 8.0 (Behoben in 8.0 U3b)
vCenter Server 7.0 (Behoben in 7.0 U3s)
VMware Cloud Foundation 5.x (Behoben in 8.0 U3b als asynchroner Patch)
VMware Cloud Foundation 4.x (Behoben in 7.0 U3s als asynchroner Patch)
Broadcom gab an, nichts von einer böswilligen Ausnutzung der beiden Schwachstellen zu wissen, forderte die Kunden jedoch dringend auf, ihre Installationen auf die neuesten Versionen zu aktualisieren, um sich vor potenziellen Bedrohungen zu schützen.
„Diese Schwachstellen sind Probleme bei der Speicherverwaltung und -beschädigung, die gegen VMware vCenter-Dienste verwendet werden können und möglicherweise die Ausführung von Remotecode ermöglichen“, so das Unternehmen.
Die Entwicklung erfolgt, während die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) eine gemeinsame Empfehlung herausgegeben haben, in der Unternehmen aufgefordert werden, auf die Beseitigung von Cross-Site-Scripting (XSS)-Schwachstellen hinzuarbeiten, die von Bedrohungsakteuren ausgenutzt werden könnten, um in Systeme einzudringen.
„Cross-Site-Scripting-Schwachstellen entstehen, wenn Hersteller Eingaben nicht richtig validieren, bereinigen oder maskieren“, so die Behörden. „Diese Fehler ermöglichen es Bedrohungsakteuren, bösartige Skripte in Webanwendungen einzuschleusen und sie auszunutzen, um Daten in verschiedenen Kontexten zu manipulieren, zu stehlen oder zu missbrauchen.“