Broadcom bugün saldırganların artık biri kritik bir uzaktan kod yürütme kusuru olan iki VMware vCenter sunucu güvenlik açıklarından yararlandığı konusunda uyardı.
TZL Güvenlik Araştırmacıları, Çin'in 2024 Matris Kupası Hacking Yarışması sırasında RCE güvenlik açığını (CVE-2024-38812) bildirdi. Bu, vCenter'ın DCE/RPC protokolü uygulamasındaki bir yığın taşma zayıflığından kaynaklanır ve VMware VSphere ve VMware Cloud Foundation dahil olmak üzere vCenter içeren ürünleri etkiler.
Şimdi Wild'da sömürülen diğer vCenter sunucu kusuru (aynı araştırmacılar tarafından bildirilen), saldırganların özel olarak hazırlanmış bir ağ paketi ile kök salmak için ayrıcalıkları artırmasını sağlayan CVE-2024-38813 olarak izlenen bir ayrıcalık artış kusuru.
Broadcom Pazartesi günü yaptığı açıklamada, "Broadcom tarafından VMware'in CVE-2024-38812 ve CVE-2024-38813 için vahşi doğada kullanıldığını doğruladığını belirtmek için güncellendi." Dedi.
Şirket, her iki güvenlik açıkını da düzeltmek için Eylül ayında güvenlik güncellemelerini yayınladı. Yine de, bir ay sonra, Orijinal CVE-2024-38812 Patch'in kusuru tam olarak ele almadığı ve "güçlü" yöneticileri yeni yamaları uygulamaya teşvik ettiği konusunda güvenlik danışmanlığı uyarısını güncelledi.
Bu güvenlik kusurları için hiçbir geçici çözüm mevcut değildir, bu nedenle etkilenen müşterilere en son güncellemeleri aktif olarak sömüren saldırıları engellemek için hemen uygulamaları tavsiye edilir.
Broadcom ayrıca, savunmasız sistemler ve daha önce yükseltilmiş olanları etkileyebilecek bilinen sorunlar hakkındaki güvenlik güncellemelerinin dağıtılması hakkında ek bilgiler içeren ek bir danışmanlık yayınladı.
Haziran ayında, şirket benzer bir VCenter Server RCE güvenlik açığı (CVE-2024-37079), saldırganların özel hazırlanmış paketler aracılığıyla da sömürebileceğini belirledi.
Fidye yazılımı çeteleri ve devlet destekli hack grupları da dahil olmak üzere tehdit aktörleri, VMware vCenter'daki güvenlik açıklarını sık sık hedefliyor. Örneğin, Ocak ayında Broadcom, Çin devlet hackerlarının en azından 2021'in sonlarından beri sıfır gün olarak kritik bir vCenter sunucu güvenlik açığı (CVE-2023-34048) kullandıklarını açıkladı.
Bu tehdit grubu (güvenlik firması Mandiant tarafından UNC3886 olarak izlendi), kötü niyetli VSphere kurulum paketleri (VIB'ler) aracılığıyla ESXI ana bilgisayarlarına VirtualPita ve VirtualPie Backdoors'u dağıtmak için kusuru kötüye kullandı.
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Broadcom, VMware vCenter Server'da kritik RCE hatasını düzeltir
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
Hackerlar Kaçırma Citrix NetScaler Oturum Açma Sayfaları Kimlik Bilgilerini Çalmak İçin
Microsoft SharePoint RCE Hata, Kurumsal Ağı İhlal Etmek İçin Kullanımlandı
Kaynak: Bleeping Computer