Bollettini sulla sicurezza

In base all'avviso di sicurezza VMware VMSA-2024-0020, diverse vulnerabilità in VMware NSX sono state segnalate in modo responsabile a VMware.

La versione NSX-T in esecuzione nell'ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

In base all'avviso sulla sicurezza VMware VMSA-2024-0021, una vulnerabilità di SQL injection autenticata in VMware HCX è stata segnalata privatamente a VMware.

Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le modifiche applicate. Sono state installate misure di mitigazione appropriate e il tuo ambiente è protetto da questa vulnerabilità.

Che cosa devo fare?

Consigliamo di eseguire l'upgrade a VMware HCX versione 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0019 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• Google ha già disattivato qualsiasi potenziale sfruttamento di questa vulnerabilità. Ad esempio, Google ha bloccato le porte tramite le quali questa vulnerabilità potrebbe essere sfruttata.
• Inoltre, Google garantisce che tutti i futuri implementazioni di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

• CVE-2024-38812
• CVE-2024-38813

È stata scoperta una vulnerabilità CVE-2024-6387 nel server OpenSSH (sshd). Questa vulnerabilità è sfruttabile da remoto nei sistemi Linux basati su glibc: un'esecuzione di codice remoto non autenticato come root, poiché influisce codice con privilegi SSH, che non è limitato tramite sandbox e viene eseguito con privilegi completi.

Al momento della pubblicazione, lo sfruttamento è ritenuto difficile: richiedere vincere una race condition, che è difficile da sfruttare e potrebbe richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

1. Applica gli aggiornamenti delle distribuzioni Linux ai carichi di lavoro man mano che diventano disponibili. Fai riferimento alle indicazioni delle distribuzioni Linux.
2. Se l'aggiornamento non è possibile, valuta la possibilità di disattivare OpenSSH finché non sarà possibile applicare la patch.
3. Se è necessario lasciare OpenSSH, puoi anche eseguire aggiornamento che elimina la condizione della race per l'exploit. Si tratta di una mitigazione di runtime. Per applicare le modifiche alla configurazione di sshd, questo script riavvierà il servizio sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Infine, monitora eventuali attività di rete insolite che coinvolgono i server SSH.

• CVE-2024-6387
• Risposta di Broadcom VMware Cloud Foundation

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0012 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Google ha già bloccato le porte vulnerabili su vCenter server web, il che impedisce qualsiasi potenziale exploit di questa vulnerabilità.
• Inoltre, Google garantisce che tutti i futuri deployment di vCenter non vengano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0006 che hanno un impatto sui componenti ESXi di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

I tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware ha divulgato più vulnerabilità nel VMSA-2023-0023 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte al pubblico internet.
• Se le porte vCenter 2012/TCP, 2014/TCP e 2020/TCP non sono accessibili da sistemi non attendibili, non sei esposto a questa vulnerabilità.
• Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale sfruttamento di questa vulnerabilità.
• Inoltre, Google garantirà che tutti i futuri deployment del vCenter server non siano esposti a questa vulnerabilità.
• Al momento della pubblicazione del bollettino, VMware non è a conoscenza di alcun exploit "in the wild". Per ulteriori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2023-34048, CVE-2023-34056

Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto di VMware Engine

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è richiesta alcuna azione da parte tua.

• CVE-2023-20893

Intel ha recentemente annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle proprie famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza.

Impatto di VMware Engine

Il nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un cliente. Pertanto, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità nell'intero parco utilizzando la procedura di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l’upgrade di sui sistemi colpiti.

• CVE-2022-40982

In base all'avviso sulla sicurezza VMware VMSA-2021-0020, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nell'imminente upgrade dello stack VMware (in base all'avviso inviato a luglio, a breve verranno forniti ulteriori dettagli sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dalle nostre indagini è emerso che nessun cliente è interessati.

Che cosa devo fare?

Perché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

In base all'avviso sulla sicurezza VMware VMSA-2021-0010, le vulnerabilità di bypass dell'autenticazione e di esecuzione di codice remoto in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili gli aggiornamenti risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. La versioni delle immagini in esecuzione nelle tue VMware Engine cloud non riflettano alcuna modifica in questo momento per indicare che le patch applicati. Ti assicuriamo che sono state installate le patch appropriate e il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dalle nostre indagini è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Perché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

In base all'avviso sulla sicurezza VMware VMSA-2021-0002, VMware ha ricevuto segnalazioni di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità in i prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative documentate ufficialmente per vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento riguarda la sicurezza vulnerabilità descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dalle nostre indagini è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla versione più recente di HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974