Der vCenter Server ist ein grundlegendes Verwaltungstool für VMware-basierte virtuelle Infrastrukturen, was ihn zu einem attraktiven Ziel für Angreifer macht. Schwachstellen wie diese können zur vollständigen Kompromittierung des Systems führen und unbefugten Zugriff auf virtuelle Maschinen sowie sensible Daten ermöglichen. Diese spezielle Schwachstelle ist äußerst kritisch, da sie lediglich Netzwerkzugriff für die Ausnutzung erfordert und standardmäßige Zugriffskontrollmechanismen umgeht.
Angesichts des breiten Einsatzes von vCenter Server in Unternehmensumgebungen stellen nicht aktualisierte Instanzen ein erhebliches Risiko dar, ins Visier selbst opportunistischer Angreifer zu geraten.
| Produkt | VMware-VirtualCenter |
| Datum | 23.10.2024 16:54:06 |
| Informationen |
|
Technische Zusammenfassung
CVE-2024-38812 ist eine kritische Schwachstelle zur Remote-Code-Ausführung (RCE) (CVSS-Score: 9.8), die in den Produkten vCenter Server und VMware Cloud Foundation von VMware gefunden wurde. Sie resultiert aus einem Heap-basierten Pufferüberlauf in der Implementierung des DCERPC-Protokolls (Distributed Computing Environment/Remote Procedure Call). Ein böswilliger Akteur mit Netzwerkzugriff auf den vCenter Server kann diese Schwachstelle durch das Senden speziell präparierter Pakete ausnutzen, was das Potenzial hat, eine vollständige Code-Ausführung auf nicht aktualisierten Systemen zu erreichen. Die aktive Ausnutzung der Schwachstelle wurde in realen Umgebungen bestätigt.
Technische Details
Die Schwachstelle, klassifiziert gemäß CWE-122 (Heap-based Buffer Overflow), hat ihren Ursprung in der fehlerhaften Handhabung benutzergesteuerter Eingaben während der Marshalling- und Unmarshalling-Prozesse von DCERPC-Protokolloperationen. Genauer gesagt:
- Heap Overflow: Die Sicherheitslücke liegt in der Funktion
rpc_ss_ndr_contiguous_elt(), wo unzureichende Prüfungen des benutzergesteuerten Wertesrange_list->lowerdie Manipulation von Speicherzeigern ermöglichen. Dies erlaubt es, die Speicheradresse in nicht vorgesehene Bereiche zu verschieben, was willkürliche Schreibvorgänge ermöglicht. - Ausnutzungspotenzial: Angreifer können bösartige Pakete mit präziser Kontrolle über Speicher-Offsets erstellen und Funktionen wie
rpc_ss_ndr_unmar_by_copying()nutzen, um den Speicher zu korrumpieren und beliebigen Code auszuführen. - Proof-of-Concept (PoC): Während des Cybersecurity-Wettbewerbs Matrix Cup 2024 vom Team TZL demonstriert, verursachten speziell erstellte Pakete eine Speicherbeschädigung, was durch Segmentierungsfehler, die mittels Debugging-Tools beobachtet wurden, bestätigt wurde.
Betroffene Versionen
- vCenter Server: 8.0 U3d, 8.0 U2e, 7.0 U3t
- VMware Cloud Foundation: 4.x, 5.x und 5.1.x (via asynchrone Patches)
Ausnutzung und aktueller Status
Es sind Beweise für eine aktive Ausnutzung aufgetaucht, mit Warnungen von Broadcom über Angriffe, die diese und eine weitere Schwachstelle (CVE-2024-38813) in realen Umgebungen ausnutzen. Diese Angriffe fallen mit der Aufnahme von CVE-2024-38812 in den Known Exploited Vulnerabilities-Katalog der CISA zusammen, was die kritische Notwendigkeit unterstreicht, Patches zeitnah anzuwenden.
Empfehlungen
Die ursprünglichen Patches, die am 17. September 2024 veröffentlicht wurden, erwiesen sich als unzureichend. VMware hat daraufhin im Oktober 2024 aktualisierte Patches bereitgestellt, die im Sicherheitshinweis VMSA-2024-0019 beschrieben sind. Diese beheben die Grundursache durch die Implementierung strengerer Grenzwertprüfungen und die Eliminierung unsicherer Zeigerarithmetik. Es wird dringend empfohlen, auf vCenter Server 8.0 U3b oder äquivalente korrigierte Versionen für die anderen betroffenen Produkte zu aktualisieren.
[Callforaction-THREAT-Footer]
Leave a Reply