VMware, müşterilerini VMware vCenter Sunucularını, potansiyel olarak uzaktan kod yürütmeye (RCE) yol açabilecek kritik bir kusura karşı güncellemeye çağırdı ve CVSS ciddiyet puanı 9,8 olarak belirlendi.
CVE-2023-34048 kapsamında izlenen vCenter Sunucusu kusuru, ağ erişimi olan bir saldırganın sınır dışı yazma işlemini tetiklemesine olanak tanıyabilir. VMware tavsiyesi açıkladı. Satıcı, “vCenter Server yazılımının DCERPC protokolünün uygulanmasında sınır dışı yazma güvenlik açığı içerdiğini” ekledi.
vCenter Sunucu platformu, hibrit bulut ortamlarındaki vSphere kurulumlarını yönetmek için kullanılır.
Viakoo Labs başkan yardımcısı John Gallagher, yaptığı açıklamada hatayı “olabildiğince ciddi” olarak nitelendirdi çünkü hem tehlikeli hem de çeşitli kuruluşlarda ve endüstri sektörlerinde yaygın olarak kullanılan VMware vCenter Sunucularını etkiliyor.
Gallgher, “Önem puanının 9,8 olmasının nedeni, CIA’in gizlilik, bütünlük ve erişilebilirlik üçlüsünün tamamını nasıl mahvettiğidir” diye açıkladı. “Bu CVE’nin başarılı bir şekilde kullanılması, ortama tam erişim sağlar ve daha fazla kullanım için uzaktan kod yürütülmesine olanak tanır.”
Qualys güvenlik araştırma müdürü Mayuresh Dani, yaptığı açıklamada, durumun ciddiyetinin bir başka kesin işaretinin de VMware’in eski sürümler için yamalar sunmak gibi alışılmadık bir adım atması olduğunu açıkladı.
Dani, “VMware’in bu güvenlik açığından etkilenen kullanım ömrü sonu (EOL) sürümleri için yamalar yayınlaması, EOL yazılımına nadiren yama uygulandığından bunun ne kadar kritik olduğunu gösteriyor” diye ekledi.
Uyarı belgesinde yamaların vCenter Server 6.7U3, 6.5U3 ve VCF 3.x’in yanı sıra vCenter Server 8.0U1 için yayınlanacağı belirtildi.
VMware tarafından VMware Cloud Foundation’da ek bir kusur daha bildirildi, ancak CVE-2023-34056 altında takip edilen bu hataya 4,3’lük daha az acil bir CVSS puanı atandı. Tavsiye belgesinde, güvenlik açığının yetkisiz bir kullanıcının verilere erişmesine izin verebileceği belirtildi.
VMware, tavsiye belgesinde her iki kusurun da araştırmacılar tarafından sorumlu bir şekilde rapor edildiğini, ancak kuruluşlar yama yapmak için acele ettikçe, tehdit aktörlerinin yama yapılmamış sistemlerden yararlanması için kaçınılmaz bir “güvenlik açığı penceresi” oluşacağını ekledi Gallagher.
Gallagher, “vCenter Server kullanan kuruluşlar, güncel bir kullanım envanterine ve yama planına sahip olduklarından emin olmalıdır” tavsiyesinde bulundu. “Bunun azaltılması doğrudan sınırlı görünüyor, ancak bir tehdit aktörü bunu bir yer edinmek için kullandığında ağ erişim kontrolü ve izlemenin kullanılması, yanal hareketi yakalayabilir.”