Exploit de tip PoC publicat pentru o vulnerabilitate RCE în VMWare vCenter Server

Specialiștii în securitate cibernetică au semnalat și detaliat o vulnerabilitate critică de executare a codului de la distanță (RCE) în VMware vCenter Server, identificată ca CVE-2024-38812.

Această eroare de tip heap-overflow, ce afectează implementarea protocolului DCERPC (Distributed Computing Environment/Remote Procedure Call) de către server, reprezintă un risc semnificativ pentru cei ce folosesc platforma de management a virtualizării VMware. 

Vulnerabilitatea, publicată în septembrie 2024, prezintă un scor CvSS de 9,8/10, indicând un grad de severitate critic. VMware vCenter Server versiunea 8.0U3a este vulnerabilă, în timp ce versiunea 8.0U3b conține remedierile necesare.

Vulnerabilitatea, afectează, de asemenea, VMware Cloud Foundation, așa cum este specificat în avizul de securitate al VMware VMSA-2024-0019.

Specialiștii în securitate au furnizat o analiză detaliată a vulnerabilității, specificând că aceasta provine din gestionarea necorespunzătoare a memoriei heap.

Exploatarea acesteia ar putea permite atacatorilor cu acces la rețea la serverul vCenter să trimită pachete malițioase, ceea ce ar putea duce la executarea de cod de la distanță.

Cauza principală a vulnerabilității se află în funcția rpc_ss_ndr_contiguous_elt(), care gestionează range_list->valoarea inferioară controlată de input-ul utilizatorului.

Exploatarea acestei vulnerabilități implică folosirea funcției memcpy din rpc_ss_ndr_unmar_by_copying(), unde input-ul controlat de atacator poate influența atât pointer-ul de destinație (p_array_addr) cât și lungimea datelor care trebuie copiate (IDL_left_in_buff).

Acest lucru permite unui atacator să controleze atât destinația memoriei, cât și cantitatea de memorie copiată, crescând riscul coruperii memoriei.

VMware a remediat această vulnerabilitate în versiunea 8.0U3b a vCenter Server.

Sursă: https://cybersecuritynews.com/vmware-vcenter-server-rce-vulnerability/