VMware исправила уязвимости в программном обеспечении vCenter Server и ESXi

Компания VMware призывает пользователей программного обеспечения vCenter Server и ESXi установить обновление, устраняющее уязвимости, которые позволяют удаленно выполнить код и вызвать отказ в обслуживании. Брешь в vCenter была впервые обнаружена ИБ-исследователем из эдинбургской компании 7 Elements Дугом Маклеодом (Doug McLeod) в начале текущего года. Эксперты работали совместно с VMware для того, чтобы успеть выпустить обновление до официального раскрытия брешей в четверг, 1 октября.

Уязвимость, которой подвержены версии vCenter Server от 5.0 до 6.0 на всех поддерживаемых платформах, включает в себя неправильно сконфигурированный сервис Java Management Extensions. Брешь позволяет манипулировать Java Management Extensions удаленно и без аутентификации. По словам исследователей, данный сервис позволяет вызывать функцию «javax.management.loading.MLet», которая, в свою очередь, разрешает загрузку MBean (managed Java bean) с удаленного URL-адреса. Атакующий может создать свой удаленный web-сервис для размещения текстового файла MLet, который указывает на вредоносный файл JAR.

Компания 7 Elements опубликовала подробную информацию об уязвимости и заявила, что существуют по крайней мере два модуля Metasploit и эксплоит для бреши.

Вторая уязвимость в vCenter была обнаружена исследователями из Google. Брешь позволяет злоумышленнику вызвать отказ в обслуживании с помощью специально сформированного вредоносного сообщения.

VMware также исправила уязвимость в программном обеспечении гипервизора ESXi, которая связана с протоколом OpenSLP. Злоумышленник, эксплуатирующий брешь распределения памяти в ПО, потенциально может удаленно выполнить код на хосте ESXi. Обнаруженная экспертами китайской ИБ-компании Qihoo 360 брешь влияет на версии ESXi 5.0, 5.1 и 5.5. Версия 6.0 не подвержена уязвимости.