Il server vCenter è uno strumento di gestione fondamentale per le infrastrutture virtuali basate su VMware, il che lo rende un obiettivo interessante per gli attaccanti. Vulnerabilità come questa possono consentire la compromissione completa del sistema, portando ad accessi non autorizzati alle macchine virtuali e a dati sensibili. Questa particolare vulnerabilità è estremamente critica poiché richiede solo l’accesso di rete per essere sfruttata e aggira i meccanismi standard di controllo degli accessi.

Dato l’ampio impiego di vCenter Server negli ambienti enterprise, le istanze non aggiornate rappresentano un rischio significativo di essere prese di mira, anche da attaccanti opportunistici.

Riassunto tecnico

CVE-2024-38812 è una vulnerabilità critica di esecuzione di codice da remoto (RCE) (punteggio CVSS: 9.8) riscontrata nei prodotti vCenter Server e VMware Cloud Foundation di VMware. Deriva da un overflow del buffer basato su heap nell’implementazione del protocollo DCERPC (Distributed Computing Environment/Remote Procedure Call). Un attore malevolo con accesso di rete al vCenter Server può sfruttare questa falla inviando pacchetti appositamente progettati, con il potenziale di ottenere piena esecuzione di codice su sistemi non aggiornati. Lo sfruttamento attivo della vulnerabilità è stato confermato in ambienti reali.

Dettagli tecnici

La vulnerabilità, classificata secondo CWE-122 (Heap-based Buffer Overflow), ha origine nella gestione non corretta degli input controllati dall’utente durante i processi di marshalling e unmarshalling delle operazioni del protocollo DCERPC. Più precisamente:

• Heap Overflow: La falla risiede nella funzione rpc_ss_ndr_contiguous_elt(), dove controlli insufficienti sul valore controllato dall’utente range_list->lower permettono la manipolazione dei puntatori di memoria. Questo consente di spingere l’indirizzo di memoria in aree non previste, permettendo scritture arbitrarie.
• Potenziale di sfruttamento: Gli attaccanti possono realizzare pacchetti malevoli con un controllo preciso sugli offset di memoria, sfruttando funzioni come rpc_ss_ndr_unmar_by_copying() per corrompere la memoria ed eseguire codice arbitrario.
• Proof-of-Concept (PoC): Dimostrata durante la competizione di cybersecurity Matrix Cup nel 2024 dal Team TZL, pacchetti creati ad hoc hanno causato corruzione della memoria, confermata da errori di segmentazione osservati tramite strumenti di debugging.

Versioni interessate

• vCenter Server: 8.0 U3d, 8.0 U2e, 7.0 U3t
• VMware Cloud Foundation: 4.x, 5.x e 5.1.x (tramite patch asincrone)

Sfruttamento e stato attuale

Sono emerse prove di sfruttamento attivo, con avvisi da parte di Broadcom circa attacchi che stanno sfruttando questa e un’altra vulnerabilità (CVE-2024-38813) in ambienti reali. Questi attacchi coincidono con l’inserimento di CVE-2024-38812 nel catalogo Known Exploited Vulnerabilities di CISA, sottolineando ulteriormente la necessità critica di applicare tempestivamente le patch.

Raccomandazioni

Le patch iniziali rilasciate il 17 settembre 2024 si sono rivelate insufficienti. VMware ha successivamente distribuito patch aggiornate nell’ottobre 2024, descritte nell’avviso di sicurezza VMSA-2024-0019, affrontando la causa principale attraverso l’implementazione di controlli più severi sui limiti e l’eliminazione di aritmetiche dei puntatori non sicure. Si raccomanda fortemente agli utenti di aggiornare a vCenter Server 8.0 U3b o a versioni equivalenti corrette per gli altri prodotti interessati.