Broadcom bleek achter de feiten aan te lopen met een recente update voor kritieke kwetsbaarheden in VMware vCenter Server. Deze kwetsbaarheden, die remote code execution en privilege escalation mogelijk maken, zouden in september zijn opgelost. De oplossing bleek echter onvoldoende en inmiddels vindt actief misbruik plaats van beide lekken. Broadcom heeft een nieuwe update uitgebracht om het gat te dichten, hopelijk nu écht.
Het gaat om de kwetsbaarheden met de aanduiding CVE-2024-38812 en CVE-2024-38813. De aanvankelijke patches waar Broadcom op 17 september mee kwam, bleken onvoldoende om deze volledig te verhelpen, in elk geval voor CVE-2024-38812. Het bedrijf heeft nu herziene fixes uitgebracht en raadt klanten met klem aan deze zo snel mogelijk toe te passen.
Heap-overflow
CVE-2024-38812 is het ernstigste probleem, een heap-overflow-kwetsbaarheid van de DCERPC protocolimplementatie. Deze kreeg de bijna maximale CVSS-score van 9.8 opgeprikt. Hiermee kunnen kwaadwillenden op afstand code uitvoeren op de betreffende vCenter Server door speciaal gemaakte netwerkpakketten te verzenden. Ze moeten dan al wel netwerktoegang hebben. DCERPC is het protocol dat vCenter gebruikt voor het aanroepen van procedures op afstand, alsof het een lokale procedure betreft.
Er bleken geen haalbare workarounds voor dit probleem, waardoor patchen de enige effectieve oplossing bleek, al heeft Broadcom er dus nog een extra patch overheen moeten gooien om het lek écht te dichten. Broadcom heeft ook bevestigd dat deze kwetsbaarheid al daadwerkelijk is uitgebuit. Wie meer duidelijkheid wil over deze situatie, kan terecht bij een FAQ die is opgesteld.
Privilege-escalation
De tweede kwetsbaarheid, CVE-2024-38813, betreft privilege escalation en is daarvoor ‘beloond’ met een CVSS-score van 7.5. Dit lek stelt aanvallers in staat hun privileges helemaal op te schalen tot root-niveau, eveneens via speciaal voor dit doel vervaardigde netwerkpakketten. Net als voor de heap-overflow-fout, zijn er geen workarounds beschikbaar voor deze kwetsbaarheid.
Ook hier raadt Broadcom onmiddellijk patchen aan. Hoewel het twee verschillende kwetsbaarheden betreft, heeft Broadcom de patches naast elkaar uitgebracht, mogelijk om gecoördineerde aanvallen te voorkomen die beide lekken zouden misbruiken.
vCenter Server is het centrale systeem waarmee gebruikers virtuele infrastructuren kunnen managen op virtualisatieplatform vSphere van VMware, inmiddels ongeveer een jaar eigendom van Broadcom. Het is veelgebruikt in datacenters en bij grote bedrijven voor het beheer van virtual machines en de bijbehorende hostservers.
Lees ook: Broadcom is de baas bij VMware en weet exact hoe het VMware moet optimaliseren