CVE-2024-38812
VMware vCenter Server
2024-11-20
VMware vCenter Server contains a heap-based buffer overflow vulnerability in the implementation of the DCERPC protocol. This vulnerability could allow an attacker with network access to the vCenter Server to execute remote code by sending a specially crafted packet.
Технический анализ и план устранения
Суть уязвимости
CVE-2024-38812 представляет собой критическую уязвимость типа переполнения кучи (heap-based buffer overflow) в реализации протокола DCERPC в составе VMware vCenter Server.
Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально сформированный сетевой пакет, что приведет к повреждению памяти. В худшем сценарии это позволяет выполнить произвольный код (RCE) с правами операционной системы, на которой запущен сервис. Уязвимость имеет оценку CVSS v3.1: 9.8 (Critical).
Как исправить
Единственным надежным способом устранения уязвимости является обновление VMware vCenter Server до исправленных версий. VMware выпустила патчи для веток 7.0 и 8.0.
1. Определите текущую версию vCenter Server Проверьте версию через vSphere Client (раздел Summary) или с помощью команды:
vpxd -v
2. Установите исправление (Patch) Необходимо обновиться до следующих версий (или более новых): * vCenter Server 8.0 U3b * vCenter Server 7.0 U3t
3. Процесс обновления через VAMI (vCenter Server Management Interface) Зайдите в интерфейс управления (порт 5480), перейдите в раздел "Update" и выполните установку доступного патча.
4. Обновление через CLI (используя ISO-образ) Примонтируйте ISO-образ обновления к виртуальной машине vCenter и выполните:
software-packages install --iso
После завершения установки перезагрузите систему:
shutdown reboot -r "Patching CVE-2024-38812"
Временные меры
На текущий момент компания Broadcom (VMware) не предоставила официальных обходных путей (workarounds), которые не требовали бы обновления системы. Если немедленное обновление невозможно, рекомендуется принять следующие меры по снижению рисков:
1. Сегментация сети Ограничьте доступ к портам управления vCenter Server (в частности, портам, использующим DCERPC). Доступ должен быть разрешен только из доверенных сегментов сети (Management VLAN) и только для администраторов.
2. Использование Firewall (ACL) Настройте правила фильтрации на сетевом оборудовании или встроенном файерволе vCenter (через VAMI), чтобы ограничить входящий трафик на порты vCenter.
3. Мониторинг аномалий
Настройте системы обнаружения вторжений (IDS/IPS) на поиск специфических паттернов в трафике DCERPC, направленном на vCenter. Следите за неожиданными перезапусками сервиса vpxd, которые могут свидетельствовать о попытках эксплуатации (вызывающих падение процесса).