VMware by Broadcom alerta sobre duas falhas críticas do vCenter, além de um bug no sudo

Anunciadas na noite de segunda-feira, horário do Pacífico, as falhas classificadas como críticas são CVE-2024-37079 e CVE-2024-37080, ambas com pontuação de 9,8 na escala de dez pontos do Common Vulnerability Scoring System v3.

O boletim de segurança da VMware descreve ambas as falhas como “vulnerabilidades de heap-overflow na implementação do protocolo DCE/RPC”, o que significa que “um ator mal-intencionado com acesso de rede ao vCenter Server pode acionar essas vulnerabilidades enviando um pacote de rede especialmente criado, potencialmente levando a execução remota de código.”

DCE/RPC (que significa Distributed Computing Environment/Remote Procedure Calls) é um meio de chamar um procedimento em uma máquina remota como se fosse uma máquina local — exatamente o que é necessário ao gerenciar máquinas virtuais.

No entanto, a perspectiva de um invasor usar as falhas para executar código no vCenter Server e conduzir frotas de VMs e hosts é profundamente desagradável.

A VMware publicou um recurso para seus clientes que afirma que a unidade de negócios da Broadcom “atualmente não está ciente da exploração ‘em estado selvagem’”.

A boa notícia é que versões corrigidas do vCenter Server e do Cloud Foundation já estão disponíveis.

A má notícia é que a VMware não considerou se as falhas afetam versões mais antigas do vSphere — o que significa que as versões 6.5 e 6.7, que deixaram de ter suporte em outubro de 2022, mas ainda são amplamente utilizadas, podem ser afetadas, mas não serão corrigidas.

Outra notícia indesejada é que a VMware também revelou uma terceira falha – CVE-2024-37081 – descrita como “vulnerabilidades de escalonamento de privilégios locais devido à configuração incorreta do sudo”. Esta é classificada como importante, com uma pontuação de 7,8, pois pode significar “Um usuário local autenticado com privilégios não administrativos pode explorar esses problemas para elevar privilégios para root no vCenter Server Appliance”.

As versões do vCenter Server e do Coud Foundation afetadas por essas falhas foram lançadas antes da Broadcom assumir o controle da VMware – um detalhe que mencionamos, pois alguns pessimistas sugeriram que cortes de empregos na gigante da virtualidade poderiam afetar a qualidade do produto.

A VMware tirou o chapéu para Matei “Mal” Badanoiu, da Deloitte Romênia, por encontrar as falhas. ®