Skip to content
arrow-alt-circle-up icon

Cyber Incident Call

arrow-alt-circle-up icon

00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses
 
On September 17th 2024, Broadcom (formerly VMware) issued a patch for a critical vulnerability in VMware vCenter Server tracked under CVE-2024-38812 and CVE-2024-38813 [1]. The CVSS scores are respectively 9.8 and 7.5. The vulnerabilities allow for remote code execution. We urge all recipients to install updates on vulnerable instances of vCenter Server as soon as possible.
 
Description
The vulnerabilities tracked under CVE-2024-38812 and CVE-2024-38813 are in the DCERPC protocol implementation in vCenter Server. These vulnerabilities may allow a malicious actor with network access to trigger remote code execution by sending a specially crafted network packet.
 
Impact
Un unauthenticated attacker could gain remote code execution on the vCenter Server over the network. Based on this, we estimate the impact of these vulnerabilities as high.
 
Risk
At the time of writing, we are not aware of any publicly available exploits for these vulnerabilities. However, based on typical VMware vCenter Server deployments which might be connected to the Internet, we estimate the risk of these vulnerabilities as high.
 
Mitigation
Broadcom recommends installing the latest patches for the following affected products [1]:
  • vCenter Server 8.0
  • vCenter Server 7.0
  • Cloud Foundation (vCenter Server) 5.x
  • Cloud Foundation (vCenter Server) 4.x
What should you do?
Verify whether one or more of the affected VMware products is used inside your organisation. We recommend installing the recommended patches for the affected VMware vCenter Server and Cloud Foundation products as soon as possible. And we strongly recommend not exposing VMware vCenter Server to untrusted users over the network, especially given the recent history of vulnerabilities in the DCERPC protocol implementation.
 
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure. We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
 
Phone number: +31 (0)30-303 1244 (during business hours)
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
 

Op 17 september 2024 heeft Broadcom (voorheen VMware) gewaarschuwd voor een nieuwe kritieke kwetsbaarheid in VMware vCenter Server met CVE-nummers CVE-2024-38812 en CVE-2024-38813 [1]. De CVSS scores zijn respectievelijk 9.8 en 7.5. Met deze kwetsbaarheid kan een aanvaller code op afstand uitvoeren. Om de kwetsbaarheden te verhelpen, adviseren we de patches van VMware zo snel mogelijk te installeren.

Beschrijving
De kwetsbaarheden met CVE-nummers CVE-2024-38812 en CVE-2024-38813 zijn gerelateerd aan de DCERPC-protocol implementatie in vCenter Server. De kwetsbaarheden kunnen een aanvaller met netwerktoegang in staat stellen om op afstand code uit te voeren op een kwetsbaar systeem met een speciaal geconstrueerd netwerkpakket.

Impact
Een aanvaller die misbruik maakt van deze kwetsbaarheid kan mogelijk op afstand code uit voeren op een kwetsbaar systeem. Daarom schatten wij de impact van exploitatie van deze kwetsbaarheden in als hoog.

Risico
Op het moment van schrijven zijn er nog geen publieke exploits van de kwetsbaarheden bekend. Gebaseerd op veelvoorkomende gebruiksscenario's waarbij VMware vCenter systemen bereikbaar zijn over het Internet, schatten wij het risico in als hoog.

Mitigatie
Broadcom adviseerd de laaste patches voor de hieropvolgende kwesbare producten te installeren [1]:

  • vCenter Server 8.0
  • vCenter Server 7.0
  • Cloud Foundation (vCenter Server) 5.x
  • Cloud Foundation (vCenter Server) 4.x

Wat moet u doen?
Controleer of een of meerdere van de kwetsbare VMware producten wordt gebruikt binnen uw organisatie. Wij adviseren de beschikbare patches voor de kwetsbare VMware vCenter Server en Cloud Foundation producten zo snel mogelijk te installeren. Daarnaast adviseren we ook ten zeerste om netwerktoegang tot de VMware vCenter systemen door niet-vertrouwde gebruikers te voorkomen, gezien de recente historie van kwetsbaren in de DCERPC-protocol implementatie.

Wat doet Northwave?
Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt. Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.

Telefoonnummer: +31 (0)30-303 1244 (tijdens kantooruren)  
E-mail: soc@northwave.nl  
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.

Bronnen [1]: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.