A VMware, conhecida por sua liderança em soluções de virtualização, está enfrentando um grande desafio para resolver completamente uma grave vulnerabilidade de execução remota de código (RCE) em sua plataforma vCenter Server. A falha, identificada como CVE-2024-38812, possui uma pontuação CVSS de 9.8, indicando seu nível crítico de severidade. Este problema foi inicialmente exposto durante o prestigiado concurso de hackers Matrix Cup, realizado na China em 2024, onde pesquisadores demonstraram como a falha pode ser explorada.
VMware não resolve completamente falha crítica de RCE no vCenter Server – CVE-2024-38812
O vCenter Server é uma peça fundamental no ecossistema de virtualização e computação em nuvem da VMware, permitindo o gerenciamento centralizado de data centers virtualizados. Isso o torna um alvo extremamente atrativo para cibercriminosos, visto que o comprometimento dessa plataforma pode abrir as portas para ataques devastadores em ambientes de TI. A vulnerabilidade, neste caso, está relacionada a um heap overflow que ocorre na implementação do protocolo DCERPC (Distributed Computing Environment/Remote Procedure Calls). Quando explorada, essa falha permite que invasores com acesso à rede enviem pacotes maliciosos manipulados para o vCenter, resultando em execução remota de código, ou seja, os atacantes podem controlar o sistema alvo sem necessidade de interação direta com ele.
A resposta da VMware: solução insuficiente
Em setembro de 2024, a Broadcom, empresa que adquiriu a VMware, lançou uma atualização de segurança para corrigir essa vulnerabilidade crítica. Contudo, essa atualização não conseguiu resolver totalmente o problema. Recentemente, a VMware atualizou seu comunicado, confirmando que as correções aplicadas inicialmente não foram suficientes para mitigar completamente a falha.
No comunicado oficial, a empresa afirmou: “A Broadcom determinou que os patches do vCenter lançados em 17 de setembro de 2024 não resolveram completamente a CVE-2024-38812.” Para solucionar o problema de forma definitiva, novos patches foram lançados em outubro de 2024. “As correções listadas na Matriz de Resposta abaixo são versões atualizadas que contêm ajustes adicionais para lidar integralmente com a CVE-2024-38812”, detalhou a empresa.
Consequências potenciais e especulações
Especialistas em segurança levantaram preocupações sobre as implicações dessa falha não resolvida. Como o vCenter Server é amplamente utilizado por organizações ao redor do mundo para gerenciar data centers e ambientes virtualizados, uma exploração bem-sucedida dessa vulnerabilidade pode ter consequências catastróficas, comprometendo servidores e dados sensíveis.
Além disso, a legislação chinesa exige que os pesquisadores divulguem vulnerabilidades zero-day ao governo antes de compartilhá-las com o público. Isso gerou especulações de que o governo chinês estava ciente da CVE-2024-38812 e pode ter explorado essa vulnerabilidade em operações de ciberespionagem antes que ela fosse corrigida.
Importância de aplicar os patches mais recentes
Dada a gravidade da falha e a incapacidade da correção inicial de resolvê-la, é crucial que todas as organizações que utilizam o vCenter Server apliquem imediatamente os patches mais recentes fornecidos pela VMware. Não fazer isso deixa as redes vulneráveis a ataques que podem comprometer toda a infraestrutura de virtualização, expondo dados confidenciais e possibilitando a movimentação lateral dentro da rede da empresa.
Para garantir que o ambiente permaneça protegido, as empresas também são aconselhadas a monitorar suas redes em busca de sinais de atividades suspeitas, especialmente em relação ao tráfego que possa estar tentando explorar essa vulnerabilidade.