VMware iki ay içerisinde ikinci kez uzaktan kod yürütme açığı olan CVE-2024-38812‘yi ele almak zorunda kaldı. Bu kritik güvenlik açığı Çin’deki bir hacking yarışmasında gösterilen bir saldırı senaryosu ile gündeme gelmiş ve VMware vCenter Server platformunu hedef almıştır. Ne yazık ki şirketin Eylül/2024 ayında yayınladığı yamalar bu açığı tam olarak kapatmada yetersiz kalmış ve ek güncellemeler gerekliliği doğmuştur.
CVE-2024-38812 olarak izlenen bu açık vCenter Server platformunda bulunan bir heap-overflow zafiyetidir. Bu güvenlik açığı DCERPC protokolünün uygulanmasında yer almaktadır. Özellikle VMware’ın sanallaştırma ve bulut bilişim çözümlerinin temel bileşeni olan vCenter Server veri merkezlerini merkezi ve kapsamlı bir şekilde yönetmek için kullanılır. Bu nedenle bu platformdaki güvenlik açıkları sistemin tamamını etkileyebilir. Zafiyetin istismar edilmesi için ağ erişimi olan kötü niyetli bir saldırganın özel olarak hazırlanmış bir ağ paketi göndermesi yeterlidir. Bu paket sunucuda uzaktan kod yürütmeye neden olabilir bu da saldırganın hedef sistemi ele geçirmesine olanak tanır. VMware’in güvenlik duyurusunda da belirtildiği gibi bu tür bir zafiyetin istismarı ciddi sonuçlara yol açabilir. Eylül 2024’te Broadcom, CVE-2024-38812 için güvenlik yamalarını yayınladı. Ancak bu yamalar açığı tamamen kapatmayı başaramadı. VMware ilk güvenlik duyurusunu güncelleyerek Eylül ayında yayınlanan yamaların bu kritik zafiyeti tamamen gideremediğini kabul etti.
Bu güvenlik açığı 2024 yılında Çin’de düzenlenen Matrix Cup Hacking yarışmasında, zbl & srs takımı tarafından gösterildi. Bu tür yarışmalar genellikle güvenlik araştırmacılarının zafiyetleri tespit ettiği platformlar olsa da Çin yasaları araştırmacıların tespit ettikleri sıfırıncı gün (zero-day) açıklarını hükümete bildirmesini zorunlu kılmaktadır. Bu durum Çin hükümetinin bu güvenlik açığından önceden haberdar olup, bunu bir sıfırıncı gün açığı olarak kullanmış olabileceği spekülasyonlarına yol açmaktadır.
Bu açığın kapatılması için vCenter Server 8.0.3.00400 (Build 24322831) sürüme geçiş yapılması gerekmektedir.
