عليك أن تبقي برامجك محدثة. يستغل بعض الأوغاد غير المعروفين خطأً خطيرًا في VMware vCenter Server بعد أكثر من عام من تصحيح Broadcom للخلل.
الثغرة الأمنية، تعقبها”_blank” rel=”nofollow” href=”https://www.cve.org/CVERecord?id=CVE-2024-37079″>CVE-2024-37079، هو خطأ كتابة خارج الحدود في تطبيق vCenter Server لبروتوكول DCERPC والذي حصل على تصنيف 9.8 من 10 CVSS. وبعبارة أخرى: إنه أمر سيء بقدر ما هو عليه.
DCERPC، والتي تعني”_blank” rel=”nofollow” href=”https://en.wikipedia.org/wiki/DCE/RPC”>بيئة الحوسبة الموزعة/استدعاءات الإجراءات البعيدة، يسمح للبرامج باستدعاء الإجراءات والخدمات على نظام بعيد عبر الشبكة. يمكن إساءة استخدام هذا الخطأ من قبل شخص لديه إمكانية الوصول إلى الشبكة إلى vCenter Server لإرسال حزم شبكة مصممة خصيصًا، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد، وفي يوم الجمعة، حذر كل من البائع والفيدرالي من حدوث هذا – أو شيء من هذا القبيل.
“Broadcom has information to suggest that exploitation of CVE-2024-37079 has occurred in the wild,” البائع”_blank” rel=”nofollow” href=”https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453″> حذر في تحديث للنصائح الأمنية الصادرة بتاريخ 18 يونيو 2024.
وفي يوم الجمعة أيضًا، أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)”_blank” rel=”nofollow” href=”https://www.cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalog”>أضيفت هذه الثغرة الأمنية الحرجة لها”_blank” rel=”nofollow” href=”https://www.cisa.gov/known-exploited-vulnerabilities-catalog”>كتالوج الثغرات الأمنية المستغلة المعروفة (KEV).. وهذا يعني أنه يجب على الوكالات الفيدرالية تصحيح الخلل بحلول 13 فبراير – ومرة أخرى، يجب أن نلاحظ أن Broadcom أصدرت تحديثًا للبرنامج”_blank” href=”https://www.theregister.com/2024/06/18/vmware_criticial_vcenter_flaws/”> يعمل على إصلاح هذا CVE منذ أكثر من عام ونصف، وكان يونيو 2024 هو الوقت الأمثل لنشر التصحيح.
يسرد KEV الخاص بـ CISA استخدام الخطأ في حملات برامج الفدية على النحو التالي: “unknown,” ولم تقدم Broadcom أي تفاصيل حول نطاق الاستغلال أو الرد عليه السجلاستفسارات حول إساءة استخدام CVE-2024-37079. سنقوم بتحديث هذه القصة عندما نتعلم المزيد حول من يسيء استخدام هذا الخلل، وماذا يفعلون بالوصول غير المشروع إلى خوادم vCenter الخاصة بالمؤسسات.
- يحذر برنامج VMware من Broadcom من وجود عيبين خطيرين في برنامج vCenter، بالإضافة إلى خطأ Sudo السيئ
- يغزو الروس بريد Microsoft exec بينما تهاجم الصين خادم VMware vCenter Server
- تعترف شركة Fortinet بأن خطأ FortiGate SSO لا يزال قابلاً للاستغلال على الرغم من تصحيح شهر ديسمبر
- تدعي ShinyHunters أن عملاء Okta قاموا باختراق البيانات وتسريب بيانات تخص 3 مؤسسات
صرحت VulnCheck نائبة الرئيس للأبحاث الأمنية كيتلين كوندون السجل تعتبر البنية التحتية الافتراضية – بما في ذلك خادم vCenter Server من Broadcom – هدفًا مفضلاً لكل من المتسللين المدعومين من الحكومة ومجرمي الإنترنت ذوي الدوافع المالية.
“على سبيل المثال،”_blank” href=”https://www.theregister.com/2024/01/20/chinese_russia_vmware_microsoft/”>CVE-2023-34048، تم استغلال ثغرة أمنية سابقة في بروتوكول DCERPC الخاص بخادم vCenter، على الأقل”_blank” href=”https://www.theregister.com/2024/03/27/surge_in_enterprise_zero_days”>three known China-nexus threat actors (Fire Ant, Warp Panda, and UNC3886),” قال كوندون.
وقالت كوندون إنها لم تتفاجأ برؤية المهاجمين يستغلون الثغرة”_blank” href=”https://www.zerodayinitiative.com/blog/2024/8/27/cve-2024-37079-vmware-vcenter-server-integer-underflow-code-execution-vulnerability” rel=”nofollow”> تفاصيل حول الثغرة الأمنية لقد كانت علنية منذ أكثر من عام.
“It’s common to see threat actors – including state-sponsored groups – opportunistically leveraging even older public vulnerability information to conduct new attacks, so it’s not terribly surprising that the vulnerability has seen exploitation in the wild,” قالت.
“While there are no immediate details on threat actor attribution or attacker behavior, vCenter Server should never, ever be exposed to the public internet, so it’s likely the adversary already had a foothold in the victim environment,” وأضاف كوندون. ®