近日，Broadcom 發布了影響 VMware vCenter 的三個漏洞的修復程序，其中兩個是嚴重漏洞，允許遠程代碼執行 (RCE)。由于虛擬機（VM）往往存放大量敏感數據和應用程序，因此這些漏洞的披露引起了黑客的注意。

vCenter 是 VMware 虛擬環境的集中管理控制臺，用于從單個集中位置查看和管理虛擬機、多個 ESXi 主機和所有附屬組件。CVE-2024-37079 和 CVE-2024-37080 是 vCenter 實現 DCERPC（Distributed Computing Environment/Remote Procedure Call 的縮寫）時存在的堆溢出漏洞。

對于黑客而言，DCERPC 在與遠程機器交互時非常有用。利用特制的網絡數據包，擁有網絡訪問權限的攻擊者可以利用這些漏洞在 vCenter 管理的虛擬機上遠程執行自己的代碼。這兩個漏洞的潛在危害在 CVSS 評級中都獲得了 9.8 分的高分（滿分 10 分）。

Broadcom 還修補了一些因 vCenter 中 sudo 配置錯誤而導致的本地權限升級漏洞。sudo是 "superuser do "或 "substitute user do "的縮寫，它允許 Unix 系統中的用戶以另一個用戶（默認為root級）的權限運行命令。通過身份驗證的本地用戶可以利用標有 CVE-2024-37081 的漏洞獲得 vCenter Server 設備的管理權限。該漏洞的 CVSS 得分高達 7.8。

到目前為止，還沒有證據表明這三個漏洞中的任何一個在野外被利用過，不過這種情況可能會很快改變。有關補救措施及相關問答，可以參考：

• https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
• https://core.vmware.com/resource/vmsa-2024-0012-questions-answers

云虛擬機的風險

根據 VMware 公布的文件，VMware 擁有 40 多萬家客戶，其中包括財富 500 強和財富全球 100 強企業。其技術為 80% 以上的虛擬化工作負載和大量關鍵業務應用提供支持。

"隨著云計算的日益普及，虛擬機的使用量也相應激增，多個應用程序被整合到一臺物理服務器上，"Keeper Security 公司安全和架構副總裁 Patrick Tiquet 解釋說。"這種整合不僅提高了運行效率，也為攻擊者提供了通過單一漏洞入侵各種服務的機會。"

vCenter Server 就是這種風險的縮影。作為支持 VMWare vSphere 和 Cloud Foundation 平臺的集中管理軟件，它為 IT 管理員和黑客提供了一個啟動點，使他們可以接觸到運行在各個組織中的許多虛擬機。

Tiquet 警告說："成功的漏洞攻擊不僅會中斷服務并造成經濟損失，還可能導致敏感數據的暴露和違反監管要求，嚴重損害組織的聲譽。"因此，修補新出現的漏洞非常必要。

另外，除了網絡分段、漏洞審計和其他安全加固策略（如事件響應計劃和維護強大的備份）之外，網絡管理員的工作還包括從正面進行引導。Tiquet 表示： "管理員應該始終確保使用的是安全的保險庫和機密管理解決方案，并且盡快應用必要的更新，還應該檢查云控制臺的安全控制，以確保遵循了最新的建議。"

參考來源：https://www.darkreading.com/cloud-security/critical-vmware-bugs-open-swaths-of-vms-to-rce-data-theft