Los investigadores de seguridad descubrieron y detallaron una vulnerabilidad crítica de ejecución remota de código (RCE) en VMware vCenter Server, identificada como CVE-2024-38812.
Esta falla de desbordamiento de montón afecta la implementación del protocolo DCERPC (entorno de computación distribuida/llamada a procedimiento remoto) en el servidor y representa una amenaza importante para las organizaciones que utilizan la plataforma de gestión de virtualización de VMware.
Revelada en septiembre de 2024, esta vulnerabilidad tiene una puntuación CVSS de 9,8, lo que indica su extrema gravedad y alto riesgo de explotación. VMware vCenter Server versión 8.0U3a tiene una vulnerabilidad, pero la versión 8.0U3b incluye los parches necesarios para mitigar este problema.
Esta falla también afecta a VMware Cloud Foundation, como se describe en el aviso de seguridad de VMware VMSA-2024-0019.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Lanzamiento de PoC de VMWare vCenter Server
Un análisis detallado de esta vulnerabilidad realizado por expertos en seguridad reveló que se debe a una gestión inadecuada de la memoria dentro del montón.
Esta falla podría permitir que un atacante malicioso con acceso a la red de vCenter Server envíe paquetes especialmente diseñados que podrían conducir a la ejecución remota de código.
La causa principal de esta vulnerabilidad está en la función rpc_ss_ndr_contiguous_elt(), que maneja range_list->valores inferiores controlados por la entrada del usuario.
Esta función modifica la dirección base de p_array_addr agregando un desplazamiento derivado de varios parámetros, incluido el valor range_list->lower controlado por el atacante.
Al manipular este valor, un atacante podría controlar la dirección de memoria a la que apunta p_array_addr, lo que podría permitir operaciones de lectura o escritura en áreas de memoria sensibles.
Los investigadores han demostrado que esta vulnerabilidad se puede activar mediante paquetes de red cuidadosamente elaborados. La sección “stub_data'' del paquete contiene valores_Z que representan información de conformidad de la matriz, que son procesados por la función vulnerable.
Al manipular estos valores, un atacante puede crear condiciones que provoquen un desbordamiento del montón y una posible ejecución de código.
La explotación de esta vulnerabilidad implica aprovechar la función memcpy rpc_ss_ndr_unmar_by_copying(). Las entradas controladas por un atacante pueden afectar tanto al puntero de destino (p_array_addr) como a la longitud de los datos que se copian (IDL_left_in_buff).
Esto permite a un atacante controlar dónde se copia la memoria y cuánta memoria se copia, lo que aumenta el riesgo de corrupción de la memoria.
VMware solucionó esta vulnerabilidad en vCenter Server versión 8.0U3b. Este parche introduce comprobaciones adicionales en los cálculos de límites de memoria para evitar la aritmética de punteros sin restricciones, lo que reduce en gran medida el potencial de explotación remota.
Se recomienda encarecidamente a las organizaciones que utilizan versiones afectadas de VMware vCenter Server que actualicen a la versión parcheada de inmediato.
Esta vulnerabilidad resalta la importancia crítica de aplicar parches rápidos y evaluaciones de seguridad periódicas en entornos empresariales, especialmente en plataformas de administración ampliamente utilizadas como VMware vCenter Server.
Dado que la virtualización continúa desempeñando un papel fundamental en las infraestructuras de TI modernas, es esencial abordar rápidamente estas vulnerabilidades para mantener la seguridad y la integridad de la red de una organización.
Los expertos en seguridad ayudan a las organizaciones a parchear e implementar medidas de seguridad adicionales, como segmentación de red, evaluaciones periódicas de vulnerabilidades y sistemas de monitoreo sólidos para detectar y responder a posibles intentos de explotación. Le recomendamos que lo haga.
Mantener copias de seguridad actualizadas y tener un plan integral de respuesta a incidentes son pasos críticos para mitigar el impacto potencial de dichas vulnerabilidades críticas.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
