إصدرت Broadcom يوم الثلاثاء تحديثات لمعالجة ثغرة أمنية خطيرة تؤثر على VMware vCenter Server والتي يمكن أن تمهد الطريق لتنفيذ التعليمات البرمجية عن بعد.
تم وصف الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-38812 (درجة CVSS: 9.8)، على أنها ثغرة أمنية لتجاوز سعة الكومة في بروتوكول DCE/RPC.
“قد يؤدي ممثل خبيث لديه إمكانية الوصول إلى الشبكة إلى vCenter Server إلى تشغيل هذه الثغرة الأمنية عن طريق إرسال حزمة شبكة مصممة خصيصًا مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد،” موفر خدمات المحاكاة الافتراضية قال في نشرة.
يشبه العيب عيبين آخرين في تنفيذ التعليمات البرمجية عن بعد، CVE-2024-37079 وCVE-2024-37080 (درجات CVSS: 9.8)، والتي تم حلها بواسطة VMware في vCenter Server في يونيو 2024.
كما تناول VMware أيضًا عيبًا في تصعيد الامتيازات في vCenter Server (CVE-2024-38813، درجة CVSS: 7.5) والذي قد يمكّن جهة فاعلة ضارة تتمتع بإمكانية الوصول إلى الشبكة إلى المثيل من تصعيد الامتيازات إلى الجذر عن طريق إرسال حزمة شبكة مُصممة خصيصًا.
يعود الفضل للباحثين الأمنيين zbl و srs من فريق TZL في اكتشاف العيبين والإبلاغ عنهما أثناء كأس ماتريكس أقيمت مسابقة الأمن السيبراني في الصين في يونيو 2024. وقد تم إصلاحها في الإصدارات أدناه –
- خادم vCenter 8.0 (تم إصلاحه في الإصدار 8.0 U3b)
- vCenter Server 7.0 (تم إصلاحه في 7.0 U3s)
- VMware Cloud Foundation 5.x (تم الإصلاح في الإصدار 8.0 U3b كتصحيح غير متزامن)
- VMware Cloud Foundation 4.x (تم الإصلاح في 7.0 U3s كتصحيح غير متزامن)
وقالت Broadcom إنها ليست على علم بالاستغلال الضار لثغرتي الضعف، لكنها حثت العملاء على تحديث عمليات التثبيت الخاصة بهم إلى أحدث الإصدارات للحماية من التهديدات المحتملة.
وقالت الشركة: “تتعلق نقاط الضعف هذه بإدارة الذاكرة ومشكلات الفساد التي يمكن استخدامها ضد خدمات VMware vCenter، مما قد يسمح بتنفيذ التعليمات البرمجية عن بعد”. قال.
ويأتي هذا التطور في الوقت الذي أصدرت فيه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي (FBI) استشارة مشتركة تحث المنظمات على العمل من أجل القضاء على عيوب البرمجة النصية عبر المواقع (XSS) التي يمكن أن تستغلها الجهات الفاعلة في التهديد لاختراق الأنظمة.
“تنشأ ثغرات البرمجة النصية عبر المواقع عندما يفشل المصنعون في التحقق من صحة المدخلات أو تعقيمها أو الهروب منها بشكل صحيح،” الهيئات الحكومية قال. “تسمح هذه الإخفاقات للجهات الفاعلة في مجال التهديد بإدخال نصوص برمجية ضارة في تطبيقات الويب، واستغلالها للتلاعب بالبيانات أو سرقتها أو إساءة استخدامها عبر سياقات مختلفة.”
