Recentemente, Broadcom e Ivanti hanno corretto vulnerabilità critiche di esecuzione di codice remoto (RCE) nei loro rispettivi prodotti VMware vCenter Server e Ivanti Endpoint Manager. Questi difetti potrebbero essere sfruttati da attori malevoli per compromettere server non aggiornati, esponendo le infrastrutture aziendali a gravi rischi di sicurezza. Per questo motivo, è fondamentale che le organizzazioni applichino quanto prima le patch di sicurezza rilasciate, proteggendo i propri sistemi da potenziali attacchi.
Broadcom risolve una vulnerabilità critica di RCE in VMware vCenter Server
Broadcom ha recentemente corretto una vulnerabilità critica del VMware vCenter Server, che potrebbe consentire agli attaccanti di eseguire codice da remoto sui server non aggiornati attraverso l’invio di pacchetti di rete appositamente configurati. Il vCenter Server è il fulcro centrale della gestione delle infrastrutture virtualizzate di VMware vSphere, utilizzato dagli amministratori per monitorare e gestire l’infrastruttura.
La vulnerabilità (CVE-2024-38812) è stata scoperta da ricercatori di sicurezza durante il concorso di hacking “Matrix Cup” in Cina e riguarda un difetto di overflow del buffer nello stack del protocollo DCE/RPC di vCenter. Questo difetto impatta non solo il vCenter Server, ma anche prodotti che lo integrano, come VMware vSphere e VMware Cloud Foundation.
Gli attacchi sono a bassa complessità e non richiedono interazione dell’utente, rendendo il difetto ancora più pericoloso. I sistemi vulnerabili possono essere sfruttati semplicemente inviando un pacchetto di rete specificamente costruito, che potrebbe condurre all’esecuzione di codice da remoto. Broadcom ha rilasciato patch di sicurezza che risolvono il problema e raccomanda agli amministratori di installare immediatamente gli aggiornamenti per proteggere i sistemi.
Nonostante la gravità del problema, al momento non ci sono prove che la vulnerabilità CVE-2023-34048 sia stata sfruttata in attacchi reali. Tuttavia, Broadcom suggerisce alle organizzazioni che non possono applicare immediatamente le patch di limitare l’accesso ai componenti di gestione di vSphere e di rafforzare le protezioni del perimetro di rete.
Nel settembre 2024, Broadcom ha risolto un’altra vulnerabilità di escalation di privilegi (CVE-2024-38813), che potrebbe consentire agli attaccanti di ottenere privilegi di root sui server vulnerabili.
Exploit reso pubblico per vulnerabilità critica di Ivanti RCE
Parallelamente, è stato reso pubblico un exploit proof-of-concept (PoC) per la vulnerabilità CVE-2024-29847, una falla critica di esecuzione di codice remoto (RCE) nel software Ivanti Endpoint Manager. Questo exploit rende urgentemente necessario l’aggiornamento dei dispositivi affetti.
La vulnerabilità riguarda una deserializzazione di dati non attendibili nel processo AgentPortal.exe, presente nelle versioni precedenti alla SU6 del 2022 e nella versione 2024 di Ivanti Endpoint Manager. Il difetto è stato scoperto dal ricercatore di sicurezza Sina Kheirkhah, che ha segnalato la problematica tramite il programma di divulgazione di vulnerabilità “Zero Day Initiative”. Ora che i dettagli dell’exploit sono stati pubblicati, la probabilità di attacchi è aumentata notevolmente.
La vulnerabilità è legata all’uso di Microsoft .NET Remoting, un framework deprecato che consente la comunicazione tra oggetti remoti. Un attaccante potrebbe sfruttare il difetto inviando oggetti serializzati a un endpoint vulnerabile, consentendo l’esecuzione di operazioni arbitrarie come la lettura o scrittura di file sui server, inclusi web shell che permettono di eseguire codice.
Ivanti ha rilasciato una patch di sicurezza che risolve la vulnerabilità nelle versioni interessate, e non ci sono mitigazioni alternative raccomandate. Si consiglia vivamente di applicare gli aggiornamenti quanto prima.
Nel gennaio 2024, CISA aveva già avvertito che una vulnerabilità di bypass dell’autenticazione nel prodotto Endpoint Manager Mobile di Ivanti era attivamente sfruttata negli attacchi. Più recentemente, è stato confermato che i cybercriminali stanno sfruttando attivamente un’altra vulnerabilità di esecuzione di codice remoto (CVE-2024-8190) nel Cloud Services Appliance (CSA) di Ivanti.
