VMware meldt actief misbruik van kritieke kwetsbaarheid in vCenter-servers

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.268
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall
detail.png

VMware meldt actief misbruik van kritieke kwetsbaarheid in vCenter-servers​

vrijdag 19 januari 2024, 14:35 door Redactie, 0 reacties
Publicatie van Security.nl

VMware meldt actief misbruik van een kritieke kwetsbaarheid in vCenter-servers waarvoor eind oktober
een beveiligingsupdate verscheen. VCenter is een oplossing voor het beheer van virtual machines en
gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in
het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren.

De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft.
VMware heeft deze week het beveiligingsbulletin van een update voorzien waarin het laat weten dat er
inmiddels actief misbruik van het beveiligingslek wordt gemaakt.
Verdere details over deze aanvallen zijn niet gegeven. In het verleden is er vaker misbruik gemaakt van
kwetsbaarheden in vCenter.
 
VMware bevestigt dat kritieke fout in vCenter nu wordt uitgebuit in aanvallen
Door Sergiu Gatlan
Publicatie van BleepingComputer


VMware_red.jpg



VMware heeft bevestigd dat een kritieke vCenter Server kwetsbaarheid voor remote code execution, die in oktober is gepatcht,
nu actief wordt uitgebuit.

vCenter Server is een beheerplatform voor VMware vSphere-omgevingen dat beheerders helpt ESX- en ESXi-servers en virtuele
machines (VM's) te beheren.

"VMware heeft bevestigd dat uitbuiting van CVE-2023-34048 in het wild heeft plaatsgevonden", aldus het bedrijf in een update,
die deze week is toegevoegd aan de oorspronkelijke advisory.

De kwetsbaarheid werd gemeld door Trend Micro kwetsbaarheidsonderzoeker Grigory Dorodnov en wordt veroorzaakt door een
out-of-bounds schrijfzwakte in de DCE/RPC protocolimplementatie van vCenter.

Aanvallers kunnen het op afstand misbruiken in eenvoudige aanvallen, met een grote impact op vertrouwelijkheid, integriteit en beschikbaarheid, waarvoor geen authenticatie of gebruikersinteractie nodig is. Vanwege het kritieke karakter heeft VMware ook beveiligingspatches uitgegeven voor meerdere end-of-life producten zonder actieve ondersteuning.

Network access brokers nemen graag VMware-servers over en verkopen deze vervolgens op cybercrime-forums aan
ransomware-bendes voor eenvoudige toegang tot bedrijfsnetwerken.
Veel ransomware-groepen (zoals Royal, Black Basta, LockBit en, meer recentelijk, RTM Locker, Qilin, ESXiArgs, Monti en Akira)
staan er nu om bekend, dat ze zich rechtstreeks richten op de VMware ESXi-servers van slachtoffers, om hun bestanden te stelen
en te versleutelen en enorm losgeld te eisen.

Volgens gegevens van Shodan zijn momenteel meer dan 2.000 VMware Center-servers online, mogelijk kwetsbaar voor
aanvallen en bedrijfsnetwerken blootgesteld aan risico's, op inbreuken gezien hun vSphere-beheerrol.


Internet-exposed%20VMware%20vCenter%20servers.jpg

VMware vCenter-servers blootgesteld aan internet (Shodan)


Omdat er geen workaround is, heeft VMware er bij beheerders die hun servers niet kunnen patchen op aangedrongen om de netwerktoegang tot vSphere-beheercomponenten strikt te controleren.

"VMware raadt ten zeerste aan om de netwerktoegang tot alle beheercomponenten en interfaces in vSphere en
gerelateerde componenten, zoals opslag- en netwerkcomponenten, strikt te controleren als onderdeel van een algehele
effectieve beveiligingsposture", waarschuwt het bedrijf.

De specifieke netwerkpoorten die in verband worden gebracht met mogelijke uitbuiting in aanvallen gericht op deze
kwetsbaarheid zijn 2012/tcp, 2014/tcp en 2020/tcp.

In juni heeft VMware ook meerdere vCenter Server beveiligingslekken met hoge ernst verholpen, die code-uitvoering en
omzeiling van authenticatie risico's voor kwetsbare servers met zich meebrachten.

In dezelfde week repareerde het bedrijf een ESXi zero-day die door Chinese staatshackers werd gebruikt bij aanvallen voor
gegevensdiefstal en waarschuwde het klanten voor een ander actief misbruikt kritiek lek in Aria Operations for Networks.

Sinds het begin van het jaar hebben IT-beheerders en beveiligingsteams te maken gehad met waarschuwingen over meerdere beveiligingsproblemen die actief worden uitgebuit, waaronder zero-days die van invloed zijn op Ivanti Connect Secure,
Ivanti EPMM en Citrix Netscaler servers.
 
Terug
Bovenaan Onderaan