VMware drong er bij klanten op aan om VMware vCenter Servers te updaten tegen een kritieke fout die mogelijk zou kunnen leiden tot uitvoering van externe code (RCE) en kende een CVSS-ernstscore van 9.8 toe.
De vCenter Server-fout, opgespoord onder CVE-2023-34048, zou een aanvaller met netwerktoegang de mogelijkheid kunnen geven om een โโschrijfactie buiten het bereik te activeren. VMware-advies uitgelegd. Software voor โvCenter Server bevat een schrijfkwetsbaarheid buiten het bereik bij de implementatie van het DCERPC-protocolโ, voegde de leverancier eraan toe.
Het vCenter Server-platform wordt gebruikt voor het beheren van vSphere-installaties in hybride cloudomgevingen.
John Gallagher, vice-president bij Viakoo Labs, typeerde de bug in een verklaring als โernstig als maar kanโ, omdat deze zowel gevaarlijk is als gevolgen heeft voor VMware vCenter Servers, die op grote schaal worden gebruikt in een verscheidenheid aan organisaties en industriรซle sectoren.
โDe reden dat het een ernstscore van 9.8 heeft, is de manier waarop het de hele CIA-triade van vertrouwelijkheid, integriteit en beschikbaarheid verwoestโ, legt Gallgher uit. โEen succesvolle exploitatie van deze CVE geeft volledige toegang tot de omgeving en maakt het uitvoeren van code op afstand mogelijk voor verdere exploitatie.โ
Een ander duidelijk teken van de ernst is VMware Mayuresh Dani, security research manager bij Qualys, legt de ongebruikelijke stap uit om patches voor oude versies aan te bieden.
โHet feit dat VMware patches heeft uitgebracht voor end-of-life (EOL)-versies die door dit beveiligingslek zijn getroffen, geeft aan hoe kritiek het is, aangezien EOL-software zelden wordt gepatchtโ, voegde Dani eraan toe.
Volgens het advies zullen patches worden uitgegeven voor vCenter Server 6.7U3, 6.5U3 en VCF 3.x, evenals voor vCenter Server 8.0U1.
Tweede patch voor VMware Cloud Foundation
Een extra fout werd gemeld door VMware in zijn VMware Cloud Foundation, maar deze bug, bijgehouden onder CVE-2023-34056, heeft een minder urgente CVSS-score van 4.3 gekregen. Het beveiligingslek kan ervoor zorgen dat een ongeautoriseerde gebruiker toegang krijgt tot gegevens, legt het advies uit.
Beide fouten zijn op verantwoorde wijze gerapporteerd door onderzoekers, zo voegde VMware toe in zijn advies. Maar naarmate organisaties zich haasten met het patchen, zal er een onvermijdelijke โperiode van kwetsbaarheidโ ontstaan โโwaarin bedreigingsactoren kunnen profiteren van niet-gepatchte systemen, voegde Gallagher eraan toe.
โOrganisaties die vCenter Server gebruiken moeten ervoor zorgen dat ze een actuele inventarisatie hebben van het gebruik ervan, en een plan om te patchenโ, adviseerde Gallagher. โDe mitigatie hiervan lijkt op het eerste gezicht beperkt, maar het gebruik van netwerktoegangscontrole en -monitoring kan zijdelingse bewegingen opvangen zodra een dreigingsactor dit gebruikt om voet aan de grond te krijgen.โ
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/vmware-issues-alarming-security-advisory
- : heeft
- :is
- $UP
- 7
- 8
- 9
- a
- vermogen
- toegang
- over
- actoren
- toegevoegd
- Extra
- Voordeel
- adviseerde
- adviserend
- beรฏnvloed
- tegen
- alarm
- toelaten
- an
- en
- komt naar voren
- ZIJN
- AS
- toegewezen
- At
- beschikbaarheid
- BE
- omdat
- geweest
- zowel
- Bug
- maar
- by
- het worstelen
- gekarakteriseerde
- cia
- Cloud
- code
- compleet
- vertrouwelijkheid
- bevat
- onder controle te houden
- kon
- kritisch
- Actueel
- Klanten
- CVE
- gevaarlijk
- gegevens
- direct
- maakt
- einde
- verzekeren
- Geheel
- Milieu
- omgevingen
- uitvoering
- uitgelegd
- Exploiteren
- exploitatie
- feit
- fout
- gebreken
- Voor
- Foundation
- verder
- Krijgen
- geeft
- Hebben
- met
- Hoe
- Echter
- HTML
- HTTPS
- Hybride
- Effecten
- uitvoering
- in
- -industrie
- onvermijdelijk
- integriteit
- inventaris
- Uitgegeven
- problemen
- IT
- HAAR
- jpg
- Labs
- leiden
- minder
- Life
- Beperkt
- groot
- manager
- beheren
- macht
- verzachting
- Grensverkeer
- beweging
- netwerk
- of
- het aanbieden van
- Oud
- eens
- organisaties
- Patch
- Patches
- plan
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- mogelijk
- president
- protocol
- reden
- uitgebracht
- vanop
- gemeld
- onderzoek
- onderzoekers
- haast
- s
- Zei
- partituur
- Sectoren
- veiligheid
- zelden
- ernstig
- server
- Servers
- moet
- teken
- sinds
- Software
- spreekt
- Statement
- Stap voor
- geslaagd
- zeker
- Systems
- Nemen
- het nemen
- dat
- De
- Er.
- ze
- dit
- bedreiging
- bedreigingsactoren
- naar
- leiden
- onbevoegd
- voor
- bijwerken
- dringend
- Gebruik
- gebruikt
- Gebruiker
- toepassingen
- gebruik
- variรซteit
- verkoper
- versies
- vice
- Vice President
- Virtueel
- vmware
- kwetsbaarheid
- was
- GOED
- waren
- welke
- wijd
- wil
- venster
- Met
- schrijven
- X
- zephyrnet