VMware vCenter Server 越界写入漏洞 (CVE-2023-34048)
2023年10月25日 KS威胁研究安全公告,漏洞通知
由Yann Lehmann撰写,Kudelski安全威胁检测与研究团队的Scott Emerson提供支持
摘要
VMware已发布安全更新,解决VMware vCenter Server中的一个关键漏洞,跟踪为CVE-2023-34048。该漏洞CVSS评分为9.8分,是DCE/RPC协议实现中的越界写入问题。它允许具有vCenter Server网络访问权限的攻击者触发越界写入,可能导致远程代码执行。
受影响系统和/或应用
以下受支持的VMware版本受此漏洞影响:
- VMware vCenter Server 7.0 & 8.0
- VMware Cloud Foundation (VMware vCenter Server) 4.x & 5.x
不受支持的6.x版本也受到影响。
攻击概述
VMware vCenter Server受到DCE/RPC协议实现中的越界写入漏洞影响。DCE/RPC是"分布式计算环境/远程过程调用"的缩写,是为分布式计算环境(DCE)创建的远程过程调用系统。该技术使开发人员能够设计分布式软件,使其如同在单台计算机上运行一样无缝操作,无需管理底层网络代码的复杂性。
此问题的严重性被评为关键。具有vCenter Server网络访问权限的攻击者可利用此漏洞,可能导致远程代码执行,但除了涉及此漏洞的特定网络端口为2012/tcp、2014/tcp和2020/tcp外,在撰写本文时尚未提供进一步的技术细节。此漏洞由趋势科技零日计划报告,在撰写本文时没有迹象表明它正在被野外利用。然而,由于漏洞的性质,CFC预计在很短时间内会出现利用。
临时解决方法和缓解措施
没有可行的产品内解决方法,但CFC建议确保通过安全架构正确保护对vCenter Server的网络访问。涉及此漏洞的特定网络端口为2012/tcp、2014/tcp和2020/tcp。
要修复CVE-2023-34048,请将以下推荐更新应用于受影响的部署:
- VMware vCenter Server 8.0:更新到版本8.0U1d/8.0U2
- VMware vCenter Server 7.0:更新到版本7.0U3o
- VMware Cloud Foundation (VMware vCenter Server) 5.x、4.x、3.x:参考KB88287
网络融合中心(CFC)的行动
在撰写本文时,尚无针对CVE-2023-34048的漏洞扫描,但一旦插件可用且漏洞扫描运行,具有CFC相关服务的客户将收到适用案例。CFC将继续监控情况,并根据情况决定是否在相关数据可用且可操作时进行威胁狩猎活动。