Due vulnerabilità di VMware vCenter (CVE-2024-38812 e CVE-2024-38813), di cui una critica di heap-overflow che porta all’esecuzione di codice remoto (RCE), sono state sfruttate in alcuni attacchi dopo che il primo tentativo di patching di Broadcom non è andato a buon fine.

Broadcom ha infatti applicato una prima patch alle due falle il 17 settembre, ma il mese successivo ha rilasciato un aggiornamento alle patch originali, dopo aver ammesso che queste non hanno risolto completamente nessuna delle due vulnerabilità. La stessa Broadcom ha confermato ieri che si è verificato uno sfruttamento in the wild per entrambe le vulnerabilità.

VMware vCenter è un obiettivo succulento per i criminali perché è lo strumento che gli amministratori utilizzano per gestire flotte di macchine virtuali (e alcune grandi aziende ne gestiscono migliaia). Considerando poi che in passato altri attacchi importanti hanno preso di mira le falle di VMware, queste correzioni meritano un’attenzione urgente.

vulnerabilità VMware vCenter

CVE-2024-38812 è una vulnerabilità critica di heap-overflow nella gestione del protocollo Distributed Computing Environment/Remote Procedure Calls (DCERPC), che ha ricevuto un punteggio di gravità CVSS di 9,8 su 10. Un aggressore con accesso alla rete potrebbe sfruttare questa falla inviando un pacchetto appositamente creato, consentendo potenzialmente di eseguire codice dannoso in remoto su un sistema vulnerabile.

CVE-2024-38813 è invece una vulnerabilità di escalation dei privilegi ad alta gravità (punteggio di gravità 7,5 su 10). Anche questa richiede l’accesso alla rete di vCenter Server e, supponendo che un utente malintenzionato ne sia in possesso, può sfruttare il bug per scalare i privilegi a root. Entrambe le vulnerabilità mettono a rischio di sfruttamento le versioni 7 e 8 di vCenter Server e le versioni 4 e 5 di VMware Cloud Foundation.