Bollettini sulla sicurezza

In base all'avviso sulla sicurezza VMware VMSA-2024-0020, diverse vulnerabilità in VMware NSX sono state segnalate in modo responsabile a VMware.

La versione NSX-T in esecuzione nel tuo ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

In base all'avviso sulla sicurezza VMware VMSA-2024-0021, una vulnerabilità di SQL injection autenticata in VMware HCX è stata segnalata privatamente a VMware.

Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le modifiche applicate. Sono state installate misure di mitigazione appropriate e il tuo ambiente è protetto da questa vulnerabilità.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla versione 4.9.2 di VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0019 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• Google ha già disattivato qualsiasi potenziale sfruttamento di questa vulnerabilità. Ad esempio, Google ha bloccato le porte tramite le quali questa vulnerabilità potrebbe essere sfruttata.
• Inoltre, Google garantisce che tutti i futuri implementazioni di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

• CVE-2024-38812
• CVE-2024-38813

È stata scoperta una vulnerabilità CVE-2024-6387 nel server OpenSSH (sshd). Questa vulnerabilità è sfruttabile da remoto sui sistemi Linux basati su glibc: un'esecuzione di codice remoto non autenticato come root, perché interessa il codice privilegiato di sshd, che non è in sandbox e viene eseguito con privilegi completi.

Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile, in quanto richiede di vincere una race condition, che è difficile da sfruttare con successo e può richiedere diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

1. Applica gli aggiornamenti delle distribuzioni Linux ai tuoi carichi di lavoro non appena diventano disponibili. Fai riferimento alle indicazioni delle distribuzioni Linux.
2. Se l'aggiornamento non è possibile, valuta la possibilità di disattivare OpenSSH finché non sarà possibile applicare la patch.
3. Se OpenSSH deve essere lasciato attivo, puoi anche eseguire un aggiornamento della configurazione che elimina la condizione di gara per l'exploit. Si tratta di una mitigazione di runtime. Per applicare le modifiche alla configurazione di sshd, questo script riavvierà il servizio sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Infine, monitora eventuali attività di rete insolite che coinvolgono i server SSH.

• CVE-2024-6387
• Risposta di Broadcom VMware Cloud Foundation

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0012 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo così qualsiasi potenziale sfruttamento di questa vulnerabilità.
• Inoltre, Google garantisce che tutti i futuri implementazioni di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0006 che hanno un impatto sui componenti ESXi implementati negli ambienti dei clienti.

Impatto di VMware Engine

I tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware ha divulgato più vulnerabilità nel VMSA-2023-0023 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte alla rete internet pubblica.
• Se le porte vCenter 2012/TCP, 2014/TCP e 2020/TCP non sono accessibili da sistemi non attendibili, non sei esposto a questa vulnerabilità.
• Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale sfruttamento di questa vulnerabilità.
• Inoltre, Google garantirà che tutti i futuri deployment del server vCenter non siano esposti a questa vulnerabilità.
• Al momento della pubblicazione del bollettino, VMware non è a conoscenza di alcun exploit "in the wild". Per ulteriori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

• CVE-2023-34048, CVE-2023-34056

Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto di VMware Engine

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è richiesta alcuna azione.

• CVE-2023-20893

Di recente Intel ha annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avviso.

Impatto di VMware Engine

La nostra flotta utilizza le famiglie di processori interessate. Nel nostro deployment, l'intero server è dedicato a un cliente. Di conseguenza, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità nell'intero parco utilizzando la procedura di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Stiamo lavorando all'upgrade di tutti i sistemi interessati.

• CVE-2022-40982

In base all'avviso sulla sicurezza VMware VMSA-2021-0020, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nell'imminente upgrade dello stack VMware (in base all'avviso inviato a luglio, a breve verranno forniti ulteriori dettagli sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

In base all'avviso sulla sicurezza VMware VMSA-2021-0010, le vulnerabilità di bypass dell'autenticazione e di esecuzione di codice remoto in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le patch applicate. Ti assicuriamo che sono state installate le patch appropriate e il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

In base all'avviso sulla sicurezza VMware VMSA-2021-0002, VMware ha ricevuto segnalazioni di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative ufficialmente documentate per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla versione più recente di HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974