VMware by Broadcom hat zwei Schwachstellen im vCenter Server mit dem VMware Security Advisories VMSA-2024-0019 bekannt gegeben.
Die als kritisch eingestuften Schwachstellen CVE-2024-38812 wurden mit 9,8 auf der zehnstufigen Skala des Common Vulnerability Scoring System v3 (CVSSv3) bewertet.
Im Sicherheitsbulletin von VMware wird diese Schwachstellen als „Heap-Overflow-Schwachstellen in der Implementierung des DCE/RPC-Protokolls“ beschrieben.
Ein Angreifer mit Netzwerkzugriff auf vCenter Server kann diese Schwachstellen ausnutzen, indem er ein speziell gestaltetes Netzwerkpaket sendet, das möglicherweise zur Remotecodeausführung führt.
In der VMware Security Advisories wird ebenfalls die Schwachstelle CVE-2024-38813 beschrieben. Ein böswilliger Angreifer mit Netzwerkzugriff auf vCenter Server kann diese Schwachstelle ausnutzen, um durch das Senden eines speziell gestalteten Netzwerkpakets die Berechtigungen auf Root zu erhöhen. Diese Schwachstelle wird mit 7,8 als wichtig eingestuft.
Broadcom hat derzeit keine Kenntnis von einer Ausnutzung dieser Schwachstellen „in der freien Wildbahn“. Diese Probleme würden nach den ITIL-Methoden als dringende Änderungen eingestuft, die ein sofortiges Handeln Ihrer Organisation erfordern. Aus diesen Gründen sollte zeitnah, ein Update auf die genannten Fixed Versions erfolgen. Einen Workaround ist nicht vorhanden.
Fixed Versions
- vCenter 8.0 U3b
- vCenter 7.0 U3sEin Update für 8.0 U2 ist aktuell nicht verfügbar und seitens Broadcom als pending eingestuft. Sollten Sie noch auf dem Release Stand 8.0 Update 2 sein, ist aktuell ein Upgrade auf 8.0 Update 3 notwendig. Beachten Sie hierbei die Kompatibilität zu anderen genutzten Komponenten wie z.B. Backupsoftware, Storageintegration oder VDI.
Gerne unterstützt Sie hierbei das AU Engineering Team.
Downloads
Am 15. April 2024 kündigte Broadcom in einem Blog-Post an, dass alle Kunden, einschließlich derer mit abgelaufenen Support-Verträgen, Zugang zu allen Patches für Critical Severity Security Alerts für unterstützte Versionen von VMware vSphere haben werden. Diese Policy kann in KB 314603 nachgelesen werden.
Unterstützte Versionen von VMware vSphere sind die Versionen 7.x und 8.x. Broadcom definiert einen Zero-Day-Sicherheits-Patch als einen Patch oder eine Umgehung für Critical Severity Security Alerts mit einem CVSS-Score (Common Vulnerability Scoring System) größer oder gleich 9.0.
VMware vCenter Server 8.0 U3b
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5515
Documentation: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u3b-release-notes/index.html
VMware vCenter Server 7.0 U3s
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5513
Documentation: https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3s-release-notes/index.htmlUpdate vom 21.10.2024
Leider haben die Patches vom 17 September nicht alle Sicherheitslücken geschlossen. Mit einem Update des VMSA-2024-0019 hat VMware Broadcom am 21. Oktober 2024 auf die neu veröffentlichten vCenter Updates verwiesen. Diese beheben nun den CVE-2024-38812 komplett. Neu ist hierbei das Patch für vCenter 8.0 Update 2. Somit ist kein Upgrade auf 8.0 Update 3 mehr zwingend. Es wird dringend empfohlen auf die neu verfügbaren Patch releases ein Update durch zu führen.
Update vom 18.11.2024
VMware by Broadcom hat bestätigt hat, dass CVE-2024-38812 und CVE-2024-38813 in freier Wildbahn ausgenutzt wurden.
In einem Eintrag bei X (ehemals Twitter) ist zu sehen wie innerhalb kürzester Zeit Root Berechtigungen erlangt werden können. Hierzu ist nur der Zugriff auf die IP des vCenter Server erforderlich.
Ein Update auf die angegebenen Releases wird dringend empfohlen.
VMware vCenter Server 8.0 U3d
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5574
Documentation: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u3d-release-notes/index.html
VMware vCenter Server 8.0 U2e
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5531
Documentation: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u2e-release-notes/index.html
VMware vCenter Server 7.0 U3t
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5580
Documentation: https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3t-release-notes/index.html
Matthias Beller