Máy chủ VMware vCenter có nhiều lỗ hổng nghiêm trọng

Máy chủ VMware vCenter có nhiều lỗ hổng nghiêm trọng (CVE-2024-37079, CVE-2024-37080 và CVE-2024-37081)

VMware vCenter Server dễ bị tổn thương bởi nhiều lỗ hổng có thể cho phép kẻ tấn công nâng cao đặc quyền và thực thi mã từ xa. Được theo dõi là CVE-2024-37079, CVE-2024-37080 và CVE-2024-37081, các lỗ hổng này được xếp hạng mức độ nghiêm trọng và quan trọng.

VMware vCenter là phần mềm quản lý máy chủ tiên tiến. Phần mềm này có nền tảng tập trung để kiểm soát môi trường vSphere để có khả năng hiển thị trên các đám mây lai. Phần mềm bảo vệ Thiết bị máy chủ vCenter và các dịch vụ liên quan với tính sẵn sàng cao (HA) gốc và mục tiêu thời gian khôi phục dưới 10 phút.

Lỗ hổng tràn vùng lưu trữ trên máy chủ VMware vCenter (CVE-2024-37079, CVE-2024-37080)

Các lỗ hổng tràn vùng lưu trữ này tồn tại trong quá trình triển khai giao thức DCERPC. DCE/RPC, hay Môi trường tính toán phân tán/Cuộc gọi thủ tục từ xa, là một giao thức mạng cho phép các lập trình viên viết phần mềm phân tán chạy trên cùng một máy tính. Kẻ tấn công phải có quyền truy cập mạng vào Máy chủ vCenter để khai thác những lỗ hổng này. Kẻ tấn công có thể kích hoạt các lỗ hổng này bằng cách gửi gói mạng được chế tạo đặc biệt và thực thi mã từ xa.

Hao Zheng và Zibo Li từ Nhóm Legendsec TianGong tại Qi’anxin Group đã phát hiện và báo cáo các lỗ hổng.

Lỗ hổng nâng cao đặc quyền cục bộ của VMware vCenter (CVE-2024-37081)

Lỗ hổng leo thang đặc quyền cục bộ bắt nguồn từ việc cấu hình sai sudo. Người dùng cục bộ được xác thực với các đặc quyền phi quản trị có thể khai thác lỗ hổng để leo thang đặc quyền nhằm  root  trên Thiết bị máy chủ vCenter.

Matei Badanoiu của Deloitte Romania đã phát hiện và báo cáo các lỗ hổng.

Sản phẩm bị ảnh hưởng

• Máy chủ VMware vCenter
• Nền tảng đám mây VMware

Phiên bản bị ảnh hưởng

• vCenter Server phiên bản 7.0 và 8.0
• vCenter Server Cloud Foundation phiên bản 4.x và 5.x

Giảm nhẹ

Khách hàng phải nâng cấp lên VMware vCenter Server phiên bản 8.0 U2d, 8.0 U1e và 7.0 U3r để vá các lỗ hổng.

Để biết thêm thông tin về cách giảm thiểu, vui lòng tham khảo  Tư vấn bảo mật VMware (VMSA-2024-0012) .

Phát hiện chất lượng

Khách hàng của Qualys có thể quét thiết bị của họ bằng QID  216323, 216324 và 216325  để phát hiện các tài sản dễ bị tấn công.

Vui lòng tiếp tục theo dõi Qualys Threat Protection để biết thêm thông tin về các lỗ hổng mới nhất.

Tài liệu tham khảo
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453