VMware, savunmasız sunucularda uzaktan kod yürütme saldırıları gerçekleştirmek için yararlanılabilecek kritik bir vCenter Sunucusu güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
vCenter Server, VMware’in vSphere paketi için merkezi yönetim merkezidir ve yöneticilerin sanallaştırılmış altyapıyı yönetmesine ve izlemesine yardımcı olur.
Güvenlik açığı (CVE-2023-34048) Trend Micro Zero Day Initiative’den Grigory Dorodnov tarafından rapor edildi ve vCenter’ın DCE/RPC protokol uygulamasındaki sınır dışı yazma zayıflığından kaynaklanıyor.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu hatadan uzaktan faydalanabilir. Şirket, CVE-2023-34048 RCE hatasının şu anda saldırılarda kullanıldığına dair hiçbir kanıt olmadığını söylüyor.
Bu sorunu ele alan güvenlik yamalarına artık standart vCenter Server güncelleme mekanizmaları aracılığıyla erişilebiliyor. Bu hatanın kritik niteliği nedeniyle VMware, artık aktif destek altında olmayan çok sayıda kullanım ömrü sona ermiş ürün için de yamalar yayınladı.
Şirket “VMware, VMware Güvenlik Önerilerinde kullanım ömrü sona eren ürünlerden bahsetmese de, bu güvenlik açığının kritik ciddiyeti ve geçici çözüm eksikliği nedeniyle VMware, vCenter Server 6.7U3, 6.5U3 ve VCF 3.x için genel kullanıma sunulan bir düzeltme eki sunmuştur. ” açıklmasında bulundu ve ekledi “Aynı nedenlerle VMware, vCenter Server 8.0U1 için ek yamalar kullanıma sundu. VCF 5.x ve 4.x dağıtımları için Async vCenter Server yamaları kullanıma sunuldu.”
Geçici çözüm mevcut değil
Geçici bir çözüm mevcut olmadığından VMware, yöneticilerin, depolama ve ağ bileşenleri de dahil olmak üzere vSphere yönetim bileşenlerine ve arayüzlerine ağ çevre erişimini sıkı bir şekilde kontrol etmelerini istiyor.
Bu güvenlik açığını hedef alan saldırılarda potansiyel istismarla bağlantılı belirli ağ bağlantı noktaları 2012/tcp, 2014/tcp ve 2020/tcp portları olarak açıklandı.
Şirket ayrıca, CVE-2023-34056 olarak takip edilen 4,3/10 önem derecesine sahip CVSS taban puanına sahip, yönetimsel olmayan ayrıcalıklara sahip tehdit aktörlerinin hassas verilere erişmek için vCenter sunucularında kullanılabilecek kısmi bir bilgi ifşa güvenlik açığını da yamaladı.
VMware ayrı bir SSS belgesinde “Bu acil bir değişiklik olarak değerlendirilebilir ve kuruluşunuzun hızlı hareket etmeyi düşünmesi gerekir” dedi.
“Ancak, tüm güvenlik yanıtları bağlama bağlıdır. Kuruluşunuz için doğru eylem planını belirlemek için lütfen kuruluşunuzun bilgi güvenliği personeline danışın.”
Haziran ayında VMware, çok sayıda yüksek önem derecesine sahip vCenter Sunucusu güvenlik açığını yamalayarak kod yürütme ve kimlik doğrulamayı atlama risklerini azaltmıştı.
Aynı hafta VMware, Çinli devlet korsanları tarafından veri hırsızlığı saldırılarında istismar edilen bir ESXi zero day açığını düzeltti ve müşterileri, o zamandan beri yamalı olan, Aria Operations for Networks analiz aracında aktif olarak yararlanılan kritik bir kusur konusunda uyardı.