Buletin keamanan

Berdasarkan saran keamanan VMware VMSA-2024-0020, beberapa kerentanan di VMware NSX dilaporkan secara bertanggung jawab ke VMware.

Versi NSX-T yang berjalan di lingkungan VMware Engine Anda tidak terpengaruh oleh CVE-2024-38815, CVE-2024-38818, atau CVE-2024-38817.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Berdasarkan saran keamanan VMware VMSA-2024-0021, kerentanan injection SQL yang diautentikasi di VMware HCX dilaporkan secara pribadi ke VMware.

Kami telah menerapkan mitigasi yang disetujui oleh VMware untuk mengatasi kerentanan ini. Perbaikan ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2024-38814. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan perubahan yang diterapkan. Mitigasi yang sesuai telah diinstal dan lingkungan Anda aman dari kerentanan ini.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware HCX versi 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0019 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

• Google telah menonaktifkan potensi eksploitasi kerentanan ini. Misalnya, Google telah memblokir port yang dapat digunakan untuk mengeksploitasi kerentanan ini.
• Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

• CVE-2024-38812
• CVE-2024-38813

Kerentanan CVE-2024-6387 ditemukan di server OpenSSH (sshd). Kerentanan ini dapat dieksploitasi dari jarak jauh pada sistem Linux berbasis glibc: eksekusi kode jarak jauh yang tidak diautentikasi sebagai root, karena memengaruhi kode dengan hak istimewa sshd, yang tidak di-sandbox dan berjalan dengan hak istimewa penuh.

Pada saat publikasi, eksploitasi diyakini sulit–memerlukan kondisi perlombaan yang sulit dieksploitasi dan dapat memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

1. Terapkan update dari distribusi Linux ke workload Anda saat update tersebut tersedia. Lihat panduan dari distribusi Linux.
2. Jika update tidak memungkinkan, pertimbangkan untuk menonaktifkan OpenSSH hingga dapat di-patch.
3. Jika OpenSSH perlu dibiarkan aktif, Anda juga dapat menjalankan update konfigurasi yang menghilangkan kondisi kasus perlombaan untuk eksploit. Ini adalah mitigasi runtime. Untuk menerapkan perubahan dalam konfigurasi sshd, skrip ini akan memulai ulang layanan sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Terakhir, pantau aktivitas jaringan yang tidak biasa yang melibatkan server SSH.

• CVE-2024-6387
• Broadcom VMware Cloud Foundation Response

VMware mengungkapkan beberapa kerentanan dalam VMSA-2024-0012 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

• Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di Server vCenter. Google telah memblokir port yang rentan di server vCenter, yang mencegah potensi eksploitasi kerentanan ini.
• Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0006 yang memengaruhi komponen ESXi yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

Cloud pribadi Anda telah diupdate untuk mengatasi kerentanan keamanan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware mengungkapkan beberapa kerentanan di VMSA-2023-0023 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

• Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di vCenter Server. Port ini tidak diekspos ke internet publik.
• Jika port vCenter 2012/tcp, 2014/tcp, dan 2020/tcp tidak dapat diakses oleh sistem yang tidak tepercaya, Anda tidak akan terpengaruh oleh kerentanan ini.
• Google telah memblokir port yang rentan di server vCenter, sehingga mencegah potensi eksploitasi kerentanan ini.
• Selain itu, Google akan memastikan semua deployment server vCenter di masa mendatang tidak terekspos pada kerentanan ini.
• Pada saat buletin ini dibuat, VMware tidak mengetahui adanya eksploitasi "di alam liar". Untuk mengetahui detail selengkapnya, lihat dokumentasi VMware untuk mengetahui informasi selengkapnya.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

• CVE-2023-34048, CVE-2023-34056

Update VMware vCenter Server mengatasi beberapa kerentanan kerusakan memori (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Dampak VMware Engine

VMware vCenter Server (vCenter Server) dan VMware Cloud Foundation (Cloud Foundation).

Apa yang harus saya lakukan?

Pelanggan tidak terpengaruh dan tidak perlu melakukan tindakan apa pun.

• CVE-2023-20893

Intel baru-baru ini mengumumkan Intel Security Advisory INTEL-SA-00828 yang memengaruhi beberapa keluarga prosesor mereka. Sebaiknya Anda menilai risiko berdasarkan saran tersebut.

Dampak VMware Engine

Armada kami menggunakan keluarga prosesor yang terpengaruh. Dalam deployment kami, seluruh server didedikasikan untuk satu pelanggan. Oleh karena itu, model deployment kami tidak menambahkan risiko tambahan apa pun pada penilaian Anda terhadap kerentanan ini.

Kami sedang bekerja sama dengan partner kami untuk mendapatkan patch yang diperlukan dan akan men-deploy patch ini secara prioritas di seluruh fleet menggunakan proses upgrade standar dalam beberapa minggu ke depan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun, kami sedang berupaya mengupgrade semua sistem yang terpengaruh.

• CVE-2022-40982

Berdasarkan saran keamanan VMware VMSA-2021-0020, VMware menerima laporan tentang beberapa kerentanan di vCenter. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere ke Google Cloud VMware Engine sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, dan CVE-2021-22010. Masalah keamanan non-kritis lainnya akan ditangani dalam upgrade stack VMware mendatang (sesuai pemberitahuan awal yang dikirim pada Juli, detail selengkapnya akan segera diberikan pada linimasa upgrade tertentu).

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Berdasarkan saran keamanan VMware VMSA-2021-0010, kerentanan bypass autentikasi dan eksekusi kode jarak jauh di vSphere Client (HTML5) dilaporkan secara pribadi ke VMware. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21985 dan CVE-2021-21986. Versi image yang berjalan di cloud pribadi VMware Engine saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan patch yang diterapkan. Jangan khawatir, patch yang sesuai telah diinstal dan lingkungan Anda aman dari kerentanan ini.

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Berdasarkan saran keamanan VMware VMSA-2021-0002, VMware menerima laporan tentang beberapa kerentanan di VMware ESXi dan vSphere Client (HTML5). VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan solusi yang didokumentasikan secara resmi untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21972, CVE-2021-21973, dan CVE-2021-21974.

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke HCX versi terbaru.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974