آسیب‌پذیری CVE-2024-38812

معرفی اکسپلویت

  • پلتفرم آسیب‌پذیر: VMware vCenter Server ,VMware Cloud Foundation
  • شدت خطر (CVSSv3): حیاتی با امتیاز 9.8
  • نوع آسیب‌پذیری: Remote Code Execution (RCE)
    نوع خطا : Heap overflow
  • نسخه‌های آسیب‌پذیر: تمامی نسخه‌ها
  • تاریخ ارائه وصله امنیتی: 30 مهر 1403
  • وضعیت استفاده:‌ عدم انتشار روال اکسپلویت (POC)

توضیحات فنی

سرور vCenter حاوی یک آسیب‌پذیری Heap-overflow در اجرای پروتکل DCE/RPC است. نفوذگر با دسترسی از طریق شبکه به سرور vCenter و با ارسال یک packet خاص، که به طور بالقوه منجر به اجرای کد از راه دور (RCE) می‌شود، این آسیب‌پذیری را اکسپلویت می‌کند.

جزئیات آسیب‌پذیری

CVE-2024-38812 یک آسیب‌پذیری حیاتی Heap-overflow است که در اجرای پروتکل DCE/RPC (محیط محاسبات توزیع‌شده/ فراخوانی رویه از راه دور) توسط سرور VMware vCenter شناسایی شده است. این نقص به نفوذگری با دسترسی شبکه به سرور vCenter اجازه می‌دهد تا packet های ساخته‌ شده خاص را ارسال کند.

گفتنی است که این packetها به طور بالقوه منجر به اجرای کد از راه دور و موجب به خطر افتادن احتمالی سیستم یا دسترسی غیرمجاز به داده‌های حساس می‌شوند. VMware خاطر نشان کرد که هنوز هیچ گزارشی مبنی بر سوء استفاده از این نقص‌­ها را مشاهده و یا دریافت نکرده است.

نسخه‌های آسیب‌پذیر

این آسیب‌پذیری تمامی نسخه‌های VMware vCenter Server ,VMware Cloud Foundation را تحت تأثیر قرار می‌دهد.

نحوه وصله آسیب‌پذیری

✔️ به‌روزرسانی‌های امنیتی جدید باید در اسرع وقت اعمال شوند، زیرا مهاجمان معمولاً نقص‌های VMware vCenter را به منظور ارتقا سطح دسترسی یا دسترسی به ماشین‌های مجازی هدف قرار می‌دهند.

بهترین راهکار جهت رفع این آسیب‌پذیری نصب وصله‌های منتشر شده برای vCenter (در تاریخ 30 مهر 1403) از لینک زیر است:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

 ✔️ نسخه‌های قدیمی‌تر محصول مانند vSphere 6.5 و 6.7 که از تاریخ پایان پشتیبانی آنها گذشته است، تحت تأثیر قرار گرفته‌اند اما به‌روزرسانی‌های امنیتی را دریافت نخواهند کرد.

✔️ حتی در صورت اعمال وصله بالا، توصیه ضروری این است که هرگز سرویس vCenter، با توجه به حساسیت فوق‌العاده آن، روی اینترنت منتشر نشود.

✔️ به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سرور vCenter توصیه می‌شود، قبل از اعمال وصله‌های منتشر شده، بلافاصله اقدامات کاهش خطر به شرح زیر انجام شود:

  • جداسازی سرور vCenter از بخش‌های دیگر شبکه
  • اعمال قوانین سختگیرانه فایروال برای کنترل دسترسی به سرور vCenter
  • استفاده از راه‌حل‌های IDS/IPS جهت نظارت و شناسایی هر گونه فعالیت مشکوک یا تلاش برای سوء‌استفاده از آسیب‌پذیری
  • تهیه نسخه پشتیبان از سرور vCenter و تنظیمات مربوطه

  مقاله برای 0 نفر مفید بود.