رفع آسیب‌پذیری بحرانی در سرور vCenter

رفع آسیب‌پذیری بحرانی در سرور vCenter

تاریخ ایجاد

به کمک VMware می‌توان شبکه‌های مجازی پیچیده‌ای را راه‌اندازی نمود و انواع نرم‌افزارها را در بسیاری از محیط‌ها به طور همزمان اجرا کرد و تمامی این موارد را می‌توان تنها روی یک سیستم انجام داد. با استفاده از VMware می‌توان بدون نیاز به انجام عملیات پارتیشن بندی دوباره هارد، سیستم‌عامل جدیدی را نصب کرد و نیز بدون نیاز به بوت کردن مجدد سیستم، بین سیستم‌عامل‌های نصب شده جا به جا شد.
شرکت VMware‌ به‌روزرسانی‌ امنیتی را جهت رفع یک آسیب‌پذیری بحرانی که می‌تواند منجر به اجرای کد از راه دور در سرور‌های vCenter‌ شود، منتشر کرده است. همچنین برای آسیب‌پذیری دیگری با عنوان افشای جزئی اطلاعات نیز وصله‌ای ارائه کرده است.
سرور vCenter‌، محصولی است که به شما توانایی پیکربندی، پیاده‌سازی و مدیریت ماشین مجازی را از یک مکان خاص می‌دهد. از vCenter جهت مدیریت چندین هاست ESXi استفاده می‌شود. سرور vCenter خود یک ماشین مجازی است که به هنگام نصب vSphere پیاده‌سازی می‌شود.
هر محیط مجازی به حداقل یک سرور vCenter نیاز دارد. هنگامی‌که vCenter نصب شد، از طریق یک GUI قابل ‌دسترسی بوده و بدین ترتیب می‌توان تمام بخش‌های مجازی شده را مدیریت کرد. از vCenter برای مدیریت ماشین‌های مجازی، مدیریت دامنه و همچنین مدیریت زیرساخت استفاده می‌شود.

vCenter قطب مرکزی مدیریت vSphere suit در VMware‌ است و به ادمین‌ها در اداره و رصد زیرساخت‌هایی که مجازی‌سازی شده‌اند کمک می‌کند.
vSphere suit قالبی از نرم‌افزارهای مجازی‌سازی است، که شامل ESXi، vCenter server و دیگر اجزائی است که اعمال مختلفی را در محیط vSphere‌ پوشش می‌دهند.
در ماه ژوئن، VMware‌ نقص‌های بحرانی در vCenter server را وصله کرده ‌بود که خطر اجرای کد و دورزدن فرآیند احراز هویت را کاهش می‌داد. همچنین پس از بهره‌برداری از آسیب‌پذیری Zero-Day در سیستم‌عامل ESXi از vSphere suit، پس از هشدار به کاربران، وصله‌ای برای آن منتشر کرد.

آسیب‌پذیری اجرای کد از راه دور، که شناسه CVE-2023-34048 و شدت 9.8  به آن اختصاص داده شده است، برآمده از یک نقص نوشتن خارج از دامنه (out-of-bounds write) در پیاده‌سازی پروتکل DCE/RPC در vCenter است. در آسیب‌پذیری out-of-bounds write، داده‌ها قبل از شروع یا بعد از پایان بافر مورد نظر نوشته می‌شوند.
مهاجمان می‌توانند با حملاتی با پیچیدگی پایین که به تعامل با کاربر هم نیازی ندارد از این آسیب‌پذیری از راه دور بهره‌برداری کنند؛ البته شرکت اذعان کرده که هیچ سرنخی مبنی بر اینکه در حال حاضر از این نقص امنیتی در حملات استفاده می‌شود در دسترس نیست.
دیگر آسیب‌پذیری که با شناسه CVE-2023-3456 و شدت 4.3 ردیابی می‌شود می‌تواند توسط کاربرانی بدون دسترسی‌های ادمین برای دستیابی به اطلاعات حساس مورد بهره‌برداری قرار گیرد.
 

محصولات تحت تأثیر
به طور کلی VMware vCenter server و VMware cloud functions از آسیب‌پذیری‌هایی که شرح آن‌ها بیان شد، تاثیر می‌پذیرند.
پورت‌های شاخص که به بهره‌برداری‌های احتمالی از این آسیب‌پذیری مربوط می‌شوند عبارتند از:

 2012/tcp _

 2014/tcp _

 2020/tcp _

توصیه‌های امنیتی
شرکت VMware اعلام کرده‌ است:« از آنجا که آسیب‌پذیری CVE-2023-34048، بحرانی به حساب می‌آید، وصله‌ای به صورت عمومی حتی برای محصولاتی که منقضی شده‌اند و دیگر به صورت فعال پشتیبانی نمی‌شوند نیز ارائه شده ‌است. از جمله این موارد می‌توان به سرور vCenter نسخه‌های 6.7U3، 6.5U3 و VCF 3.x اشاره کرد.
همچنین وصله‌هایی برای سرورهای 8.0U1 و وصله‌هایی برای سرورهای Async vCenter: VCF5.x, 4.x منتشر شده‌اند.»
با توجه به اینکه هنوز راه‌حلی جهت رفع آسیب‌پذیری‌های فوق در دسترس نیست، VMware  از تمام ادمین‌ها می‌خواهد تا دسترسی محلی شبکه به اجزای مدیریتی و زیرساختی vSphere از جمله اجزای شبکه و حافظه را به شدت تحت نظارت و کنترل بگیرند.
 

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-code-execution-flaw-in-vcenter…
[2]https://www.vmware.com/security/advisories/VMSA-2023-0023.html