Le serveur vCenter est un outil de gestion fondamental pour les infrastructures virtuelles basées sur VMware, ce qui en fait une cible attrayante pour les attaquants. Des vulnérabilités comme celle-ci peuvent permettre une compromission complète du système, menant à des accès non autorisés aux machines virtuelles et à des données sensibles. Cette vulnérabilité particulière est extrêmement critique car elle ne nécessite qu’un accès réseau pour être exploitée et contourne les mécanismes standard de contrôle d’accès.
Compte tenu de l’utilisation étendue de vCenter Server dans les environnements d’entreprise, les instances non mises à jour représentent un risque important d’être ciblées, y compris par des attaquants opportunistes.
| Produit | VMware-VirtualCenter |
| Date | 23-10-2024 16:54:06 |
| Informations |
|
Résumé technique
La CVE-2024-38812 est une vulnérabilité critique d’exécution de code à distance (RCE) (score CVSS : 9.8) détectée dans les produits vCenter Server et VMware Cloud Foundation de VMware. Elle découle d’un dépassement de tampon (buffer overflow) basé sur le tas (heap) dans l’implémentation du protocole DCERPC (Distributed Computing Environment/Remote Procedure Call). Un acteur malveillant disposant d’un accès réseau au serveur vCenter peut exploiter cette faille en envoyant des paquets spécialement conçus, avec le potentiel d’obtenir une exécution complète de code sur les systèmes non mis à jour. L’exploitation active de la vulnérabilité a été confirmée dans des environnements réels.
Détails techniques
La vulnérabilité, classée selon CWE-122 (Heap-based Buffer Overflow), trouve son origine dans la gestion incorrecte des entrées contrôlées par l’utilisateur lors des processus de marshaling et d’unmarshaling des opérations du protocole DCERPC. Plus précisément :
- Dépassement de tas (Heap Overflow) : La faille réside dans la fonction
rpc_ss_ndr_contiguous_elt(), où des contrôles insuffisants sur la valeur contrôlée par l’utilisateurrange_list->lowerpermettent la manipulation des pointeurs mémoire. Cela permet de pousser l’adresse mémoire vers des zones non prévues, autorisant des écritures arbitraires. - Potentiel d’exploitation : Les attaquants peuvent concevoir des paquets malveillants avec un contrôle précis sur les décalages (offsets) mémoire, en exploitant des fonctions telles que
rpc_ss_ndr_unmar_by_copying()pour corrompre la mémoire et exécuter du code arbitraire. - Preuve de concept (PoC) : Démontrée lors de la compétition de cybersécurité Matrix Cup en 2024 par l’équipe TZL, des paquets créés ad hoc ont provoqué une corruption de la mémoire, confirmée par des erreurs de segmentation observées via des outils de débogage.
Versions concernées
- vCenter Server : 8.0 U3d, 8.0 U2e, 7.0 U3t
- VMware Cloud Foundation : 4.x, 5.x et 5.1.x (via des correctifs asynchrones)
Exploitation et état actuel
Des preuves d’exploitation active ont émergé, avec des alertes de la part de Broadcom concernant des attaques exploitant cette faille ainsi qu’une autre vulnérabilité (CVE-2024-38813) dans des environnements réels. Ces attaques coïncident avec l’ajout de la CVE-2024-38812 au catalogue Known Exploited Vulnerabilities de la CISA, soulignant davantage la nécessité critique d’appliquer les correctifs rapidement.
Recommandations
Les correctifs initiaux publiés le 17 septembre 2024 se sont révélés insuffisants. VMware a par la suite distribué des correctifs mis à jour en octobre 2024, décrits dans l’avis de sécurité VMSA-2024-0019, traitant la cause profonde par la mise en œuvre de contrôles plus stricts sur les limites et l’élimination des arithmétiques de pointeurs non sécurisées. Il est fortement recommandé aux utilisateurs de mettre à jour vers vCenter Server 8.0 U3b ou vers les versions corrigées équivalentes pour les autres produits concernés.
[Callforaction-THREAT-Footer]
Leave a Reply