Broadcom a averti aujourd’hui que les attaquants exploitent désormais deux vulnérabilités de VMware vCenter Server, dont l’une est une faille critique d’exécution de code à distance.
Les chercheurs en sécurité de TZL ont signalé la vulnérabilité RCE (CVE-2024-38812) lors du concours de piratage Matrix Cup 2024 en Chine. Cela est dû à une faiblesse de débordement de tas dans la mise en œuvre du protocole DCE/RPC de vCenter et affecte les produits contenant vCenter, notamment VMware vSphere et VMware Cloud Foundation.
L’autre faille de vCenter Server désormais exploitée dans la nature (rapportée par les mêmes chercheurs) est une faille d’élévation de privilèges identifiée comme CVE-2024-38813 qui permet aux attaquants d’élever les privilèges vers root avec un paquet réseau spécialement conçu.
« Avis mis à jour pour noter que VMware par Broadcom a confirmé que l’exploitation a eu lieu dans la nature pour CVE-2024-38812 et CVE-2024-38813 », Broadcom dit le lundi.
La société a publié des mises à jour de sécurité en septembre pour corriger les deux vulnérabilités. Pourtant, environ un mois plus tard, il a mis à jour l’avis de sécurité avertissant que le correctif original CVE-2024-38812 n’avait pas entièrement corrigé la faille et a « fortement » encouragé les administrateurs à appliquer les nouveaux correctifs.
Aucune solution de contournement n’est disponible pour ces failles de sécurité, il est donc conseillé aux clients concernés d’appliquer immédiatement les dernières mises à jour pour bloquer les attaques qui les exploitent activement.
Broadcom a également publié un avis supplémentaire avec des informations supplémentaires sur le déploiement des mises à jour de sécurité sur les systèmes vulnérables et les problèmes connus qui pourraient affecter ceux qui ont déjà effectué la mise à niveau.
En juin, la société a corrigé une vulnérabilité similaire de vCenter Server RCE (CVE-2024-37079) que les attaquants peuvent également exploiter via des paquets spécialement conçus.
Les acteurs malveillants, notamment les gangs de ransomwares et les groupes de piratage parrainés par l’État, ciblent fréquemment les vulnérabilités de VMware vCenter. Par exemple, en janvier, Broadcom a révélé que des pirates informatiques de l’État chinois exploitaient une vulnérabilité critique de vCenter Server (CVE-2023-34048) en tant que jour zéro depuis au moins fin 2021.
Ce groupe de menaces (suivi comme UNC3886 par la société de sécurité Mandiant) a abusé de la faille pour déployer des portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi via des bundles d’installation vSphere (VIB) conçus de manière malveillante.
