VMware vCenter Server中发现严重安全漏洞（CVE-2024-37079、CVE-2024-37080、CVE-2024-37081），立即修补以保护虚拟环境免受远程代码执行和特权提升攻击。

Broadcom（现为VMware的所有者公司）最近发布的安全公告披露了影响VMware vCenter Server及其管理的虚拟化环境的严重漏洞。

该公告VMSA-2024-0012解决了在vCenter Server中发现的三个严重漏洞。这些漏洞被归类为CVE-2024-37079、CVE-2024-37080和CVE-2024-37081，可被恶意行为者利用来未经授权访问vCenter Server系统，而vCenter Server系统是管理Cloud Foundation和vSphere平台上的虚拟机的关键组件。

博通的公告显示，CVE-2024-37079和CVE-2024-37080是堆溢出漏洞，CVSS评分为9.8。奇安信集团网御天工团队的郑浩和李子博报告了这些问题。

这些漏洞允许黑客在实施DCERPC协议时远程执行代码，这表明存在严重风险。供您参考，分布式计算环境/远程过程调用(DCERPC)是一种网络协议，它允许一台计算机上的程序在另一台计算机上执行过程，从而允许应用程序像访问本地过程一样访问远程计算机上运行的服务。恶意行为者可以通过发送精心设计的网络数据包来触发vCenter Server中的漏洞，从而可能导致远程代码执行。

另一个漏洞CVE-2024-37081的CVSS评分为7.7，允许本地用户完全控制vCenter Server Appliance。已知的攻击媒介涉及具有非管理权限的本地用户利用这些问题将权限提升到vCenter Server Appliance上的root权限。来自Deloitte Romaniafor的Matei Badanoiu报告了这些问题。

VMware声称这些漏洞尚未被主动利用。不过，考虑到这些漏洞可能被远程利用，因此这些漏洞的严重性不容忽视。这意味着攻击者不一定需要物理访问vCenter Server即可发起攻击。

对于依赖VMware vCenter Server进行虚拟基础架构管理的组织来说，这可能会带来严重后果。潜在影响包括数据泄露、运营中断和横向移动。

博通建议修补所有易受攻击的实例，因为没有“可行的”解决方法。安全公告强调保持警惕、实施强大的安全措施和及时修补漏洞的重要性，以降低网络攻击成功的风险。

Bambenek Consulting总裁John Bambenek就最新进展发表评论，强调这些安全漏洞的危险性。“VMWare是一个热门攻击目标，因为它是一个流行的平台，只要利用一次漏洞，我获得的就不只是一项资产，而是所有资产的管理权。基础设施越来越多地实现虚拟化，而VMWare是本地虚拟化领域的行业领导者。如果我想用勒索软件攻击一个组织并迅速关闭它们，我要么瞄准AD，要么瞄准他们的虚拟机管理程序环境，John说。“

他进一步建议，“vCenter和虚拟机管理程序通常只需要少数人访问。它们应该在管理VLAN上隔离，或者具有强大的网络访问控制，以便只有管理员可以访问它们。这意味着攻击者需要先攻陷那些管理员，然后才能利用该漏洞。至少，这些接口永远不应该从开放的互联网访问。”