Один пакет = полный контроль VMware — дыру не латают 18 месяцев, серверы падают как домино

Атакующие продолжают использовать критическую уязвимость в VMware vCenter Server, несмотря на то, что патч для нее был выпущен больше года назад. Broadcom подтвердила, что баг уже эксплуатируется в реальных атаках, а американские регуляторы официально включили его в список активно используемых уязвимостей.

Речь идет о CVE-2024-37079. Это ошибка типа out-of-bounds write в реализации протокола DCERPC в vCenter Server. Уязвимость получила оценку 9,8 из 10 по шкале CVSS, что относит ее к максимально опасным. DCERPC используется для удаленных вызовов процедур и сервисов по сети, то есть позволяет одному компоненту системы выполнять команды на другом узле. В данном случае баг дает возможность атакующему, имеющему сетевой доступ к серверу управления виртуализацией, отправлять специально сформированные пакеты и добиться удаленного выполнения кода.

Проще говоря, при наличии доступа к сети, где работает vCenter Server, у злоумышленника появляется шанс получить полный контроль над системой управления виртуальной инфраструктурой.

В обновлении к своему бюллетеню безопасности от 18 июня 2024 года Broadcom сообщила, что располагает данными, указывающими на эксплуатацию CVE-2024-37079 «в дикой природе», то есть в реальных атаках, а не только в лабораторных тестах. В тот же день Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило эту уязвимость в каталог Known Exploited Vulnerabilities (KEV), перечень багов, которые уже используются злоумышленниками.

Попадание в KEV означает обязательное устранение уязвимости для федеральных ведомств США. Для них установлен крайний срок установки патча, 13 февраля. При этом сам апдейт Broadcom, закрывающий CVE-2024-37079, был выпущен более полутора лет назад, а июнь 2024 года считался оптимальным моментом для его установки.

Ни Broadcom, ни CISA не раскрыли деталей о масштабах атак. В KEV-каталоге использование бага в кампаниях с вымогательским ПО отмечено как «неизвестно». Также нет информации о конкретных группах, которые стоят за эксплуатацией уязвимости, и о том, какие именно сценарии атак применяются. Broadcom не ответила на запросы журналистов о характере злоупотреблений этим багом.

Аналитики отмечают, что инфраструктура виртуализации давно находится в фокусе как киберпреступных групп, так и государственных хакерских структур. Вице-президент по исследованиям безопасности компании VulnCheck Кейтлин Кондон напомнила, что предыдущая уязвимость в DCERPC-компоненте vCenter Server, CVE-2023-34048, уже использовалась как минимум 3 известными группировками, связанными с Китаем: Fire Ant, Warp Panda и UNC3886.

По ее словам, нет ничего необычного в том, что злоумышленники начинают активно использовать давно опубликованные уязвимости. Подробности о CVE-2024-37079 находятся в открытом доступе больше года, и подобная информация регулярно применяется в новых атаках, в том числе государственными группами. Кондон также отмечает, что vCenter Server в принципе не должен быть доступен из публичного интернета. Поэтому наиболее вероятный сценарий заключается в том, что атакующие уже имели первоначальный доступ к инфраструктуре жертвы, а уязвимость использовали для развития атаки и расширения контроля внутри сети.

Фактически ситуация снова сводится к базовой проблеме кибербезопасности: критическая уязвимость с готовым патчем остается не закрытой месяцами и годами, после чего начинает использоваться в реальных атаках, затрагивая корпоративные системы управления виртуальной инфраструктурой.