Cảnh báo lỗ hổng nghiêm trọng trong VMware vCenter Server CVE-2024-38812

VMware đã phát hành bản cập nhật để khắc phục lỗ hổng bảo mật nghiêm trọng CVE-2024-38812 với mức điểm CVSS 9.8, lỗ hổng này ảnh hưởng đến vCenter Server, một nền tảng quản lý ảo hóa phổ biến của VMware.

Lỗ hổng này xuất phát từ việc tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC (Distributed Computing Environment / Remote Procedure Calls). Nếu khai thác thành công, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, dẫn đến khả năng chiếm toàn quyền kiểm soát máy chủ mà không cần sự tương tác của người dùng.

VMware xác nhận rằng bản vá phát hành trước đó vào ngày 17/9/2024 chưa xử lý triệt để lỗ hổng CVE-2024-38812. Do đó, bản vá mới nhất vào ngày 21/10/2024 được phát hành để giải quyết hoàn toàn vấn đề này.

Phương thức khai thác

Xác định hệ thống dễ bị tấn công: Kẻ tấn công sẽ quét các hệ thống vCenter Server có thể truy cập được qua mạng để phát hiện những hệ thống có thể bị khai thác. Gửi yêu cầu độc hại: Sau khi xác định hệ thống mục tiêu, kẻ tấn công sẽ gửi các gói tin độc hại thông qua giao thức DCE/RPC để khai thác lỗ hổng. Chiếm quyền kiểm soát hệ thống: Khi khai thác thành công, kẻ tấn công có thể chiếm quyền kiểm soát hoàn toàn vCenter Server, bao gồm thực thi mã, truy cập dữ liệu, thay đổi cài đặt, hoặc cài đặt phần mềm độc hại.

Tác động

Lỗ hổng này có thể dẫn đến:

  • Thực thi mã từ xa (RCE): Cho phép kẻ tấn công thực thi bất kỳ mã nào với quyền quản trị hệ thống.
  • Chiếm quyền kiểm soát hệ thống: Kẻ tấn công có thể thực hiện mọi hành động trên hệ thống, từ thay đổi cài đặt, truy cập dữ liệu nhạy cảm đến việc cài đặt phần mềm độc hại.
  • Lan rộng tấn công: Nếu vCenter Server quản lý nhiều máy ảo hoặc cơ sở hạ tầng đám mây, kẻ tấn công có thể sử dụng hệ thống đã bị kiểm soát để tấn công các máy ảo hoặc dịch vụ khác trong hệ thống.

Phiên bản ảnh hưởng

  • VMware vCenter Server 8.x
  • VMware vCenter Server 7.x
  • VMware Cloud Foundation 4.x, 5.x

Lưu ý: Các phiên bản vCenter Server cũ hơn (ví dụ như 6.5 và 6.7) đã kết thúc hỗ trợ và sẽ không nhận được bản vá bảo mật, mặc dù chúng cũng bị ảnh hưởng bởi lỗ hổng này.

Kiến nghị

Cập nhật hệ thống:

VMware đã phát hành các bản vá cho vCenter Server để khắc phục hoàn toàn các lỗ hổng CVE-2024-38812 và CVE-2024-38813. Các quản trị viên hệ thống cần cập nhật lên các phiên bản sau:

  • vCenter Server 8.x: Phiên bản 8.0 U3d, 8.0 U2e
  • vCenter Server 7.x: Phiên bản 7.0 U3t
  • VMware Cloud Foundation 4.x, 5.x: Async patch tương ứng với các phiên bản trên.

Áp dụng chính sách truy cập an toàn:

  • Giới hạn quyền truy cập mạng đến vCenter Server chỉ cho các hệ thống và người dùng tin cậy.
  • Sử dụng tường lửa và các cơ chế bảo mật mạng để bảo vệ vCenter Server khỏi các cuộc tấn công từ xa.

Phòng chống dài hạn:

Cân nhắc nâng cấp hoặc chuyển đổi sang các giải pháp ảo hóa khác nếu hệ thống cũ không còn nhận được hỗ trợ bảo mật từ VMware.

Các lỗ hổng liên quan

Ngoài CVE-2024-38812, VMware cũng vá thêm lỗ hổng CVE-2024-38813 (CVSS 7.5), một lỗ hổng leo thang đặc quyền trong vCenter Server, cho phép kẻ tấn công có thể leo thang từ tài khoản người dùng thông thường lên quyền quản trị cao nhất (root).

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: