El servidor vCenter es una herramienta de gestión fundamental para las infraestructuras virtuales basadas en VMware, lo que lo convierte en un objetivo atractivo para los atacantes. Vulnerabilidades como esta pueden permitir la vulneración completa del sistema, lo que conlleva accesos no autorizados a las máquinas virtuales y a datos sensibles. Esta vulnerabilidad en particular es extremadamente crítica, ya que solo requiere acceso a la red para ser explotada y elude los mecanismos estándar de control de acceso.
Dado el amplio uso de vCenter Server en entornos empresariales, las instancias no actualizadas representan un riesgo significativo de ser atacadas, incluso por atacantes oportunistas.
| Producto | VMware-VirtualCenter |
| Fecha | 2024-10-23 16:54:06 |
| Información |
|
Resumen técnico
CVE-2024-38812 es una vulnerabilidad crítica de ejecución remota de código (RCE) (puntuación CVSS: 9.8) encontrada en los productos vCenter Server y VMware Cloud Foundation de VMware. Se deriva de un desbordamiento de búfer basado en el montón (heap-based buffer overflow) en la implementación del protocolo DCERPC (Distributed Computing Environment/Remote Procedure Call). Un actor malintencionado con acceso de red al vCenter Server puede explotar este fallo enviando paquetes diseñados específicamente, con el potencial de obtener la ejecución completa de código en sistemas no actualizados. Se ha confirmado la explotación activa de la vulnerabilidad en entornos reales.
Detalles técnicos
La vulnerabilidad, clasificada según CWE-122 (Heap-based Buffer Overflow), tiene su origen en la gestión incorrecta de las entradas controladas por el usuario durante los procesos de serialización (marshalling) y deserialización (unmarshalling) de las operaciones del protocolo DCERPC. Más precisamente:
- Desbordamiento del montón (Heap Overflow): El fallo reside en la función
rpc_ss_ndr_contiguous_elt(), donde los controles insuficientes sobre el valor controlado por el usuariorange_list->lowerpermiten la manipulación de los punteros de memoria. Esto permite desplazar la dirección de memoria a áreas no previstas, permitiendo escrituras arbitrarias. - Potencial de explotación: Los atacantes pueden crear paquetes maliciosos con un control preciso sobre los desplazamientos (offsets) de memoria, aprovechando funciones como
rpc_ss_ndr_unmar_by_copying()para corromper la memoria y ejecutar código arbitrario. - Prueba de concepto (PoC): Demostrada durante la competición de ciberseguridad Matrix Cup en 2024 por el equipo TZL, paquetes creados ad hoc causaron la corrupción de la memoria, confirmada por errores de segmentación observados mediante herramientas de depuración.
Versiones afectadas
- vCenter Server: 8.0 U3d, 8.0 U2e, 7.0 U3t
- VMware Cloud Foundation: 4.x, 5.x y 5.1.x (mediante parches asíncronos)
Explotación y estado actual
Han surgido pruebas de explotación activa, con advertencias por parte de Broadcom sobre ataques que están aprovechando esta y otra vulnerabilidad (CVE-2024-38813) en entornos reales. Estos ataques coinciden con la inclusión de CVE-2024-38812 en el catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities) de CISA, subrayando aún más la necesidad crítica de aplicar los parches de manera oportuna.
Recomendaciones
Los parches iniciales lanzados el 17 de septiembre de 2024 resultaron ser insuficientes. VMware distribuyó posteriormente parches actualizados en octubre de 2024, descritos en el aviso de seguridad VMSA-2024-0019, abordando la causa raíz mediante la implementación de controles más estrictos sobre los límites y la eliminación de operaciones aritméticas de punteros inseguras. Se recomienda encarecidamente a los usuarios actualizar a vCenter Server 8.0 U3b o a versiones equivalentes corregidas para los demás productos afectados.
[Callforaction-THREAT-Footer]