Про уязвимость Remote Code Execution - VMware vCenter (CVE-2024-38812). Уязвимость была опубликована 17 сентября. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специальный сетевой пакет и получить RCE. Всё из-за переполнения кучи в реализации протокола DCERPC.
По самой уязвимости данных пока мало. Уязвимость была обнаружена в рамках соревнований The Matrix Cup командой из университета Tsinghua. Write-up-а пока нет. На GitHub один репозиторий, в котором какой-то ноунейм предлагает купить эксплоит за $105 (upd. Проверено - это скам). На AttackerKB другой ноунейм утверждает, что видел эксплуатацию уязвимости вживую. Достоверность сомнительная.
С другой стороны, мы помним похожую RCE уязвимость vCenter DCERPC CVE-2023-34048, которая скрытно эксплуатировалась в таргетированных атаках с 2021 года. Censys сообщали тогда о 293 vCenter хостов с DCERPC доступных из Интернет.
Велики шансы, что и с этой уязвимостью будет громкая история. Обновляйтесь!
