VMware 发布了一份安全公告,解决 vCenter Server 中的严重漏洞,包括远程代码执行和本地权限提升漏洞。VMware vCenter Server 是 VMware vSphere 的中央管理平台,支持对虚拟机和 ESXi 主机的管理。
今天,该供应商发布了针对三个漏洞的修复,分别是 CVE-2024-37079、CVE-2024-37080、CVE-2024-37081,总结如下:
- CVE-2024-37079:vCenter Server 的 DCERPC 协议实现中存在堆溢出漏洞,允许具有网络访问权限的恶意行为者发送特制的数据包,从而可能导致远程代码执行。(CVSS v3.1 评分:9.8“严重”)
- CVE-2024-37080:vCenter Server 的 DCERPC 协议中的另一个堆溢出漏洞。与 CVE-2024-37079 类似,它允许具有网络访问权限的攻击者通过发送精心设计的数据包来利用堆溢出,从而可能导致远程代码执行。(CVSS v3.1 评分:9.8“严重”)
- CVE-2024-37081:此漏洞源于 vCenter Server 中 sudo 的错误配置,允许经过身份验证的本地用户利用此漏洞将其权限提升到 vCenter Server Appliance 上的 root 权限。(CVSS v3.1 评分:7.8“高”)
上述缺陷影响 VMware vCenter Server 版本 7.0 和 8.0 以及 VMware Cloud Foundation 版本 4.x 和 5.x。
VMware vCenter Server 8.0 U2d、8.0 U1e 和 7.0 U3r 中提供了安全更新。对于 Cloud Foundation,补丁已通过 KB88287 推送。
供应商表示,更新 vCenter Server 不会影响正在运行的工作负载或虚拟机,但在更新期间 vSphere Client 和其他管理界面可能会出现暂时不可用的情况。
此外,在 7.0 U3r(U3q 中也存在)中检测到了自定义密码问题。建议进行预检以发现问题,同时用户也可以参考相应的知识库文章。
该供应商表示,目前没有可行的产品内解决方法或缓解措施来应对这些漏洞,因此建议的解决方案是尽快应用更新。
VMware 在随安全公告发布的常见问题解答页面中表示,目前尚未发现任何针对这些漏洞的主动利用行为。
然而,vCenter 漏洞在披露后成为威胁行为者攻击的目标的情况并不少见,因此管理员必须尽快应用更新。
