【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞

404实验室 知道创宇404实验室 2024-10-29 13:53

2024年10月，VMware修复了一个严重的远程代码执行漏洞CVE-2024-38812 [1]，该漏洞存在于vCenter Server的DCE/RPC协议实现中。此漏洞源自堆溢出问题，攻击者可通过发送特制的网络数据包来触发远程代码执行，不需用户交互。这一漏洞影响vCenter Server的多个版本[2]。由于最初于2024年9月发布的补丁未能完全解决该漏洞，Broadcom于10月发布了更新补丁 [2]。该漏洞最早由Matrix Cup安全竞赛的TZL团队发现，并报告给VMware。

知道创宇404实验室持续追踪该漏洞的情报，发现最近有国外安全研究者已经发布相关漏洞详细分析报告[3]，更值得注意的是，已经有人开始出售该漏洞利用程序，因此我们强烈建议防御及安全风险排查。

另外需要注意的是，未更新至支持版本的旧版vSphere（如6.5和6.7）将不会接收补丁，用户需尽快更新至受支持版本以确保安全。

修复建议：建议受影响的用户立即应用最新的补丁，详细信息参见VMware的响应矩阵。
参考资料：
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-38812[2]https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968[3]
https://blog.sonicwall.com/en-us/2024/10/vmware-vcenter-server-cve-2024-38812-dcerpc-vulnerability/