Anunciadas na noite de segunda-feira, horário do Pacífico, as falhas classificadas como críticas são CVE-2024-37079 e CVE-2024-37080, ambas com pontuação de 9,8 na escala de dez pontos do Common Vulnerability Scoring System v3.
O boletim de segurança da VMware descreve ambas as falhas como “vulnerabilidades de heap-overflow na implementação do protocolo DCE/RPC”, o que significa que “um ator mal-intencionado com acesso de rede ao vCenter Server pode acionar essas vulnerabilidades enviando um pacote de rede especialmente criado, potencialmente levando a execução remota de código.”
DCE/RPC (que significa Distributed Computing Environment/Remote Procedure Calls) é um meio de chamar um procedimento em uma máquina remota como se fosse uma máquina local — exatamente o que é necessário ao gerenciar máquinas virtuais.
No entanto, a perspectiva de um invasor usar as falhas para executar código no vCenter Server e conduzir frotas de VMs e hosts é profundamente desagradável.
A VMware publicou um recurso para seus clientes que afirma que a unidade de negócios da Broadcom “atualmente não está ciente da exploração ‘em estado selvagem’”.
A boa notícia é que versões corrigidas do vCenter Server e do Cloud Foundation já estão disponíveis.
A má notícia é que a VMware não considerou se as falhas afetam versões mais antigas do vSphere — o que significa que as versões 6.5 e 6.7, que deixaram de ter suporte em outubro de 2022, mas ainda são amplamente utilizadas, podem ser afetadas, mas não serão corrigidas.
Outra notícia indesejada é que a VMware também revelou uma terceira falha – CVE-2024-37081 – descrita como “vulnerabilidades de escalonamento de privilégios locais devido à configuração incorreta do sudo”. Esta é classificada como importante, com uma pontuação de 7,8, pois pode significar “Um usuário local autenticado com privilégios não administrativos pode explorar esses problemas para elevar privilégios para root no vCenter Server Appliance”.
As versões do vCenter Server e do Coud Foundation afetadas por essas falhas foram lançadas antes da Broadcom assumir o controle da VMware – um detalhe que mencionamos, pois alguns pessimistas sugeriram que cortes de empregos na gigante da virtualidade poderiam afetar a qualidade do produto.
A VMware tirou o chapéu para Matei “Mal” Badanoiu, da Deloitte Romênia, por encontrar as falhas. ®
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…