Kritische VMware-Sicherheitslücke wird angegriffen

In VMware vCenter Server und Cloud Foundation klafft eine kritische Sicherheitslücke, für die der Hersteller im Oktober einen Patch veröffentlicht hat. Die Sicherheitsmitteilung hat das Unternehmen jetzt aktualisiert, da die Lücke aktiv in freier Wildbahn angegriffen wird. IT-Verantwortliche sollten die bereitstehende Aktualisierung so schnell wie möglich anwenden.

Die betroffene Schwachstelle findet sich in der Unterstützung von "Distributed Computing Environment / Remote Procedure Calls" (DCERPC): Bei der Verarbeitung des DCERPC-Protokolls können Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten. Dadurch können Angreifer mit Netzwerkzugriff auf vCenter Server Schadcode einschleusen und ausführen (CVE-2023-34048, CVSS 9.8, Risiko "kritisch"). Schon im Oktober stufte VMware die Schwachstelle als so brisant ein, dass die Entwickler auch Updates für Produkte veröffentlichten, die am End-of-Life angekommen sind.

VMware aktualisiert Sicherheitsmitteilung

In der Sicherheitsmitteilung von VMware zu der Schwachstelle wurde nun folgender Eintrag ergänzt: "VMware has confirmed that exploitation of CVE-2023-34048 has occurred in the wild". Übersetzt: "VMware bestätigt, dass der Missbrauch der Schwachstelle CVE-2023-34048 in freier Wildbahn aufgetreten ist" – sie wird von Cyberkriminellen also angegriffen und zum Einschleusen von Schadcode missbraucht.

Die Ergänzung erfolgte bereits am Mittwoch dieser Woche, sie blieb bislang weitgehend unbeachtet. Details zu den Angriffen nennt VMware nicht. Die Entwickler liefern auch keine Indicators of Compromise (IOCs), also Indizien, anhand derer IT-Verantwortliche erkennen können, ob sie von den bekannten Angriffen betroffen sind. Administratorinnen und Administratoren sollten daher zumindest zügig überprüfen, ob ihre vCenter Server- und Cloud Foundation-Instanzen auf dem aktuellen Stand sind.

(dmk)