Un error de VMware que otorga habilidades de ejecución remota de código está siendo explotado en la naturaleza
El error fue detectado por primera vez en septiembre de 2024, pero el parche no resolvió el problema
Se lanzó un segundo parche, y se insta a los usuarios a aplicarlo ahora
Broadcom está advirtiendo que dos vulnerabilidades que afectan a su producto VMware vCenter Server están siendo explotadas en la naturaleza por hackers.
Los parches están disponibles, y se insta a los usuarios a aplicarlos de inmediato, ya que no hay solución alternativa. Además, las vulnerabilidades pueden ser utilizadas para causar bastante daño a las redes comprometidas.
A mediados de septiembre de 2024, VMware lanzó un aviso de seguridad, afirmando haber parcheado dos fallos en vCenter Server que podrían haber otorgado a los actores de amenazas habilidades de ejecución remota de código (RCE).
Explotación confirmada
Estos fallos se identificaron como CVE-2024-38812 y CVE-2024-38813.
El primero afecta a vCenter 7.0.3, 8.9.2 y 8.0.3, así como a todas las versiones de vSphere o VMware Cloud Foundation anteriores a las mencionadas anteriormente. Se le asignó una puntuación de gravedad de 9.8 (crítica) ya que puede ser explotado sin interacción del usuario, y ya que otorga capacidades de RCE a un actor de amenazas que envía un paquete de red personalizado. El segundo, en cambio, es un fallo de gravedad 7.5, otorgando escalada de privilegios de root.
Ambas vulnerabilidades fueron descubiertas por el Equipo TZL de la Universidad Tsinghua durante la Competencia de Ciberseguridad de la Copa Matrix, celebrada en China a principios de este año.
Sin embargo, pronto se anunció que los parches no funcionaban correctamente, ya que Broadcom emitió un segundo parche a finales de octubre de 2024. En ese momento, a pesar de que el bug estuvo presente durante meses y ha sido parcheado dos veces, todavía no había pruebas de abuso en la naturaleza.
De todas formas, ese momento ha llegado.
“Advertencia actualizada para señalar que VMware por Broadcom confirmó que la explotación ha ocurrido en la naturaleza para CVE-2024-38812 y CVE-2024-38813,” Broadcom dijo a principios de esta semana.
Desafortunadamente, en este momento, no sabemos quién está abusando de estas vulnerabilidades, o contra quién. Sin embargo, BleepingComputer recuerda que actores de amenazas, incluidas pandillas de ransomware y actores estatales patrocinados, suelen dirigirse a errores de VMware vCenter.
Vía BleepingComputer
Te podría interesar