Ranjivosti u VMware proizvodima
Dana 17. lipnja 2024. tvrtka VMware je izdala sigurnosna ažuriranja za tri ranjivosti koje zahvaćaju VMware vCenter Server i VMware Cloud Foundation, od kojih su dvije kritične ranjivosti. Iskorištavanje ovih ranjivosti omogućuje zlonamjernom akteru udaljeno izvršavanje kôda (engl. remote code execution - RCE) ili eskalaciju privilegija na zahvaćenim sustavima.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Ranjivosti CVE-2024-37079 i CVE-2024-37080 (obje s CVSS ocjenom 9.8), predstavljaju ranjivosti prelijevanja alociranog bloka memorije (engl. heap overflow) u implementaciji DCERPC (Distributed Computing Environment / Remote Procedure Call) komunikacijskog protokola. Napadač s mrežnim pristupom vCenter Serveru može iskoristiti ove ranjivosti za udaljeno izvršavanje kôda slanjem posebno oblikovanog mrežnog paketa.
- Ranjivost lokalne eskalacije privilegija CVE-2024-37081 (CVSS ocjena 7.8), uzrokovana je pogrešnom konfiguracijom sudo komandnog alata. Autentificirani lokalni korisnik s neadministrativnim privilegijama može iskoristiti ovu ranjivost kako bi stekao root privilegije.
Zahvaćeni proizvodi:
- VMware vCenter Server 7.0 i 8.0,
- VMware Cloud Foundation 4.x i 5.x.
Preporuke:
Preporučuje se žurno ažuriranje ranjivih proizvoda na najnoviju dostupnu inačicu slijedeći službene upute proizvođača.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
- https://thehackernews.com/2024/06/vmware-issues-patches-for-cloud.html
- https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-vcenter-rce-vulnerability-patch-now/
[inicijalna objava: 19.6.2024 - 13:08]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima