Broadcom meldt misbruik van kritieke kwetsbaarheid in VMware vCenter

In dit artikel:

Aanvallers maken actief gebruik van een kritieke kwetsbaarheid in VMware vCenter-servers, melden Broadcom en het Amerikaanse cyberagentschap CISA. Voor het lek, aangeduid als CVE-2024-37079, zijn op 18 juni 2024 beveiligingsupdates uitgebracht.

De fout betreft een heap-overflow in de DCERPC-implementatie van vCenter. Met speciaal geprepareerde netwerkpakketten kan een aanvaller die netwerktoegang heeft tot een vCenter-server op afstand code uitvoeren. De ernst is zeer hoog: 9,8 op een schaal van 1–10. CISA en Broadcom geven aan dat er bewijs is van misbruik, maar delen geen technische details over de aanvallen. CISA heeft Amerikaanse overheidsinstanties opgedragen de patch binnen drie weken te installeren als dat nog niet gebeurd is.

vCenter wordt gebruikt voor beheer van virtuele machines en gevirtualiseerde servers en is al vaker doelwit geweest bij gerichte aanvallen. Organisaties met vCenter-omgevingen wordt sterk aangeraden de gepubliceerde updates meteen te installeren. Als aanvullende mitigaties gelden het beperken van netwerktoegang tot managementinterfaces, segmentatie van managementnetwerken, het toepassen van firewallregels en het monitoren van logs op verdachte activiteit. Voor getroffen organisaties is ook forensisch onderzoek en het volgen van vendor-advisories raadzaam.