تکنولوژی کامپیوتر نرم افزار کامپیوتر هک و امنیت

حفره بحرانی RCE در VMware vCenter Server اکنون در حملات مورد بهره‌برداری قرار می‌گیرد.

نوامبر 19, 2024

0 2 خواندن این مطلب 2 دقیقه زمان میبرد

حفره بحرانی RCE در VMware vCenter Server اکنون در حملات مورد بهره‌برداری قرار می‌گیرد.

Broadcom هشدار داد که مهاجمان در حال سوءاستفاده از دو آسیب‌پذیری VMware vCenter Server هستند که یکی از آن‌ها یک نقص اجرای کد از راه دور بحرانی است.

به گزارش اپست به نقل از bleepingcomputer ، محققان امنیتی TZL آسیب‌پذیری RCE (CVE-2024-38812) را در طول مسابقه هک Matrix Cup 2024 چین گزارش کردند. این آسیب‌پذیری ناشی از یک ضعف سرریز حافظه پشته در پیاده‌سازی پروتکل DCE/RPC vCenter است و بر محصولاتی که حاوی vCenter هستند، از جمله VMware vSphere و VMware Cloud Foundation تأثیر می‌گذارد.

نقص دیگر vCenter Server که اکنون در محیط واقعی مورد سوءاستفاده قرار می‌گیرد (توسط همان محققان گزارش شده است)، یک نقص افزایش امتیاز است که با عنوان CVE-2024-38813 ردیابی می‌شود و به مهاجمان امکان می‌دهد با یک بسته شبکه دستکاری شده امتیازات خود را به سطح root ارتقا دهند.

برودکام روز دوشنبه اعلام کرد: ‘اخطار به‌روزرسانی شده برای یادآوری اینکه VMware توسط برودکام تأیید کرده است که از آسیب‌پذیری‌های CVE-2024-38812 و CVE-2024-38813 سوءاستفاده شده است.’

این شرکت در ماه سپتامبر به‌روزرسانی‌های امنیتی را برای رفع هر دو آسیب‌پذیری منتشر کرد. با این حال، تقریباً یک ماه بعد، این شرکت اخطار امنیتی را به‌روزرسانی کرد و هشدار داد که وصله اصلی CVE-2024-38812 به‌طور کامل نقص را برطرف نکرده است و “قویاً” از مدیران سیستم خواست تا وصله‌های جدید را اعمال کنند.

هیچ راهکار موقتی برای این نقص‌های امنیتی وجود ندارد، بنابراین به مشتریان آسیب‌پذیر توصیه می‌شود که برای جلوگیری از حملات فعالانه‌ای که از آن‌ها سوءاستفاده می‌کنند، فوراً آخرین به‌روزرسانی‌ها را اعمال کنند.

برودکام همچنین یک اخطار مکمل با اطلاعات اضافی در مورد استقرار به‌روزرسانی‌های امنیتی در سیستم‌های آسیب‌پذیر و مشکلات شناخته‌شده‌ای که ممکن است بر کسانی که قبلاً ارتقا داده‌اند تأثیر بگذارد، منتشر کرده است.

در ماه ژوئن، این شرکت یک آسیب‌پذیری مشابه RCE سرور vCenter (CVE-2024-37079) را برطرف کرد که مهاجمان می‌توانند از طریق بسته‌های ویژه طراحی شده نیز از آن سوءاستفاده کنند.

بازیگران تهدید، از جمله گروه‌های باج‌افزار و گروه‌های هک دولتی، اغلب آسیب‌پذیری‌های VMware vCenter را هدف قرار می‌دهند. به عنوان مثال، در ماه ژانویه، Broadcom فاش کرد که هکرهای دولتی چین از یک آسیب‌پذیری بحرانی سرور vCenter (CVE-2023-34048) به عنوان یک صفر روز حداقل از اواخر سال 2021 سوءاستفاده کرده‌اند.

این گروه تهدید (که توسط شرکت امنیتی Mandiant به عنوان UNC3886 ردیابی می‌شود) از این نقص برای استقرار بک‌دورهای VirtualPita و VirtualPie بر روی میزبان‌های ESXi از طریق بسته‌های نصب vSphere (VIB) که به طور مخرب طراحی شده‌اند، سوءاستفاده کرد.