VMware устраняет критическую ошибку выполнения кода в vCenter Server

Компания VMware выпустила обновления безопасности, устраняющие критическую уязвимость vCenter Server, которая может быть использована для атак удаленного выполнения кода на уязвимых серверах.

vCenter Server является центральным узлом управления для VMware's vSphere suite и помогает администраторам управлять и контролировать виртуализированную инфраструктуру.

Уязвимость (CVE-2023-34048), о которой сообщил Григорий Дороднов из Trend Micro's Zero Day Initiative, связана со слабым местом в реализации протокола DCE/RPC vCenter, связанным с выходом за границы диапазона.

Неавторизованные злоумышленники могут удаленно использовать ее в атаках низкой сложности, не требующих взаимодействия с пользователем. Компания утверждает, что у нее нет доказательств того, что ошибка CVE-2023-34048 RCE используется в атаках в настоящее время.

Патчи безопасности, устраняющие эту проблему, теперь доступны через стандартные механизмы обновления vCenter Server. В связи с критическим характером этой ошибки компания VMware также выпустила исправления для нескольких продуктов с истекшим сроком эксплуатации, которые больше не поддерживаются.

"Хотя компания VMware не упоминает продукты с истекшим сроком эксплуатации в рекомендациях VMware Security Advisories, из-за критической серьезности этой уязвимости и отсутствия обходного пути VMware выпустила общедоступный патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x", - говорится в сообщении компании.

По тем же причинам VMware сделала доступными дополнительные исправления для vCenter Server 8.0U1". Стали доступны исправления Async vCenter Server для развертываний VCF 5.x и 4.x".

Решение проблемы недоступно

Поскольку обходное решение недоступно, VMware настоятельно рекомендует администраторам строго контролировать доступ по периметру сети к компонентам и интерфейсам управления vSphere, включая хранилища и сетевые компоненты.

Конкретные сетевые порты, которые могут быть использованы в атаках, направленных на эту уязвимость, - 2012/tcp, 2014/tcp и 2020/tcp.

Компания также исправила уязвимость частичного раскрытия информации с базовым баллом CVSS 4,3/10, отслеживаемую как CVE-2023-34056, которая может быть использована угрожающими субъектами, имеющими неадминистративные привилегии на серверах vCenter, для доступа к конфиденциальным данным.

"Это считается экстренным изменением, и вашей организации следует подумать о том, чтобы действовать быстро", - говорится в отдельном документе FAQ компании VMware.

"Однако все меры безопасности зависят от контекста. Пожалуйста, проконсультируйтесь с сотрудниками службы информационной безопасности вашей организации, чтобы определить правильный порядок действий для вашей организации".

В июне компания VMware исправила несколько серьезных дефектов в системе безопасности vCenter Server, устранив риски выполнения кода и обхода аутентификации.

На той же неделе VMware исправила уязвимость "нулевого дня" в ESXi, использовавшийся китайскими государственными хакерами для атак по краже данных, и предупредила клиентов об активно эксплуатируемом критическом дефекте в аналитическом инструменте Aria Operations for Networks, который впоследствии был исправлен.

25.10.2023
https://www.bleepingcomputer.com/ne...itical-code-execution-flaw-in-vcenter-server/​